Slik trykker du på nettverket ditt og ser alt som skjer på det

  Bilde for artikkel med tittelen Slik trykker du på nettverket ditt og ser alt som skjer på det
Bilde: Shutterstock (Shutterstock)

Hjemmenettverket ditt – og alt som er koblet til det – er som et hvelv. Bak påloggingen din ligger tonnevis av verdifull informasjon, fra ukrypterte filer som inneholder personlige data til enheter som kan kapres og brukes til ethvert formål. I dette innlegget viser vi deg hvordan du kan kartlegge nettverket ditt, ta en titt under dynen for å se hvem som snakker med hva, og hvordan du avdekker enheter eller prosesser som kan suge ned båndbredden (eller er uventede gjester på nettverket ditt) .


Kort sagt: Du vil kunne gjenkjenne tegnene på at noe på nettverket ditt er kompromittert. Vi antar at du er kjent med noe grunnleggende om nettverk, som hvordan du finner ruterens liste over enheter og hva en MAC-adresse er. Hvis ikke, gå over til vår Kjenn ditt nettverk nattskole å pusse opp først.

Før vi går videre, bør vi imidlertid gi en advarsel: Bruk disse kreftene for godt, og kjør bare disse verktøyene og kommandoene på maskinvare eller nettverk du eier eller administrerer. Din vennlige IT-avdeling i nabolaget vil ikke like at du porterer skanning eller sniffing av pakker på bedriftsnettverket, og det ville heller ikke alle folk på din lokale kaffebar.

Trinn én: Lag et nettverkskart

Før du i det hele tatt logger på datamaskinen, skriv ned det du tror du vet om nettverket ditt. Start med et ark og skriv ned alle de tilkoblede enhetene dine. Det inkluderer ting som smarte TV-er, smarthøyttalere, bærbare datamaskiner og datamaskiner, nettbrett og telefoner eller andre enheter som kan være koblet til nettverket ditt. Hvis det hjelper, tegn et rom-for-rom-kart over hjemmet ditt. Skriv deretter ned hver enhet og hvor den bor. Du kan bli overrasket over nøyaktig hvor mange enheter du har koblet til internett samtidig.

Nettverksadministratorer og ingeniører vil gjenkjenne dette trinnet – det er det første trinnet i å utforske et hvilket som helst nettverk du ikke er kjent med. Gjør en oversikt over enhetene på den, identifiser dem, og se om virkeligheten stemmer overens med det du forventer. Hvis (eller når) det ikke gjør det, vil du raskt kunne skille det du vet fra det du ikke vet.


Du kan bli fristet til å bare logge på ruteren og se på statussiden for å se hva som er tilkoblet, men ikke gjør det ennå. Med mindre du kan identifisere alt på nettverket ditt ved hjelp av IP- og MAC-adressen, vil du bare få en stor liste over ting – en som inkluderer alle inntrengere eller frilastere. Ta en fysisk beholdning først, og gå deretter videre til den digitale.

Trinn to: Undersøk nettverket ditt for å se hvem som er på det

  Bilde for artikkel med tittelen Slik trykker du på nettverket ditt og ser alt som skjer på det
Skjermbilde: Alan Henry

Når du har et fysisk kart over nettverket ditt og en liste over alle de pålitelige enhetene dine, er det på tide å grave. Logg på ruteren og sjekk listen over tilkoblede enheter. Det vil gi deg en grunnleggende liste over navn, IP-adresser og MAC-adresser. Husk at ruterens enhetsliste kan vise deg alt eller ikke. Det burde det, men noen rutere viser deg bare enhetene som bruker ruteren for IP-adressen. Uansett, hold den listen ved siden av – den er bra, men vi vil ha mer informasjon.


Last ned og installer Nmap

Deretter skal vi gå til vår gamle venn Nmap . For de som ikke kjenner til, er Nmap et nettverksskanningsverktøy på tvers av plattformer med åpen kildekode som kan finne enheter på nettverket ditt, sammen med massevis av detaljer på disse enhetene. Du kan se operativsystemet de bruker, IP- og MAC-adresser, og til og med åpne porter og tjenester. Last ned Nmap her , Sjekk ut disse installasjonsveiledningene å sette den opp, og følg disse instruksjonene for å oppdage verter på hjemmenettverket ditt.

Ett alternativ er å installere og kjøre Nmap fra kommandolinjen (hvis du vil ha et grafisk grensesnitt, Zenmap følger vanligvis med installasjonsprogrammet). Skann IP-området du bruker for hjemmenettverket ditt. Dette avdekket de fleste av de aktive enhetene på hjemmenettverket mitt, unntatt noen få jeg har noe forbedret sikkerhet på (selv om de også var synlige med noen av Nmaps kommandoer, som du finner i lenken ovenfor).


  Bilde for artikkel med tittelen Slik trykker du på nettverket ditt og ser alt som skjer på det
Skjermbilde: Alan Henry

Sammenlign Nmaps liste med ruterens liste

Du bør se de samme tingene på begge listene med mindre noe du skrev ned tidligere er slått av nå. Hvis du ser noe på ruteren din som Nmap ikke dukket opp, prøv å bruke Nmap direkte mot den IP-adressen.

Se så på informasjonen Nmap finner om enheten. Hvis den hevder å være en Apple TV, bør den sannsynligvis ikke ha tjenester som http kjører, for eksempel. Hvis det ser rart ut, undersøk det spesielt for mer informasjon.

Nmap er et ekstremt kraftig verktøy, men det er ikke det enkleste å bruke. Hvis du er litt våpensky, har du noen andre alternativer. Sint IP-skanner er et annet verktøy på tvers av plattformer som har et pen og brukervennlig grensesnitt som vil gi deg mye av den samme informasjonen. Wireless Network Watcher er et Windows-verktøy som skanner trådløse nettverk du er koblet til. Glasswire er et annet flott alternativ som vil varsle deg når enheter kobler til eller fra nettverket ditt.

Trinn tre: Snus rundt og se hvem alle snakker med

Nå bør du ha en liste over enheter du kjenner og stoler på, og en liste over enheter du har funnet koblet til nettverket ditt. Med hell er du ferdig her, og alt stemmer enten eller er selvforklarende (som en TV som for øyeblikket er slått av, for eksempel).


Men hvis du ser noen skuespillere du ikke kjenner igjen, tjenester kjører som ikke samsvarer med enheten (Hvorfor kjører Roku min postgresql?), eller noe annet føles dårlig, er det på tide å snuse litt. Pakkesnusing, altså.

Når to datamaskiner kommuniserer, enten på nettverket ditt eller over internett, sender de biter av informasjon kalt 'pakker' til hverandre. Sammen danner disse pakkene komplekse datastrømmer som utgjør videoene vi ser på eller dokumentene vi laster ned. Pakkesniffing er prosessen med å fange og undersøke disse informasjonsbitene for å se hvor de går og hva de inneholder.

Installer Wireshark

For å gjøre dette, trenger vi Wireshark . Det er et nettverksovervåkingsverktøy på tvers av plattformer som vi pleide å snuse litt på vår guide for å snuse opp passord og informasjonskapsler . I dette tilfellet vil vi bruke det på en lignende måte, men målet vårt er ikke å fange opp noe spesifikt, bare for å overvåke hvilke typer trafikk som går rundt nettverket.

For å gjøre dette, må du kjøre Wireshark over wifi i ' promiskuøs modus .' Det betyr at den ikke bare leter etter pakker på vei til eller fra datamaskinen din – den er ute etter å samle pakker den kan se på nettverket ditt.

Følg disse trinnene for å sette opp:

  • Last ned og installer Wireshark
  • Velg din wifi-adapter.
  • Klikk Capture > Options - og som du kan se i videoen ovenfor (med tillatelse fra folkene på Hak5 ), kan du velge 'Fang alt i promiskuøs modus' for den adapteren.

Nå kan du begynne å fange pakker. Når du starter fangsten, kommer du til å få mye informasjon. Heldigvis foregriper Wireshark dette og gjør det enkelt å filtrere.

  Bilde for artikkel med tittelen Slik trykker du på nettverket ditt og ser alt som skjer på det
Skjermbilde: Alan Henry

Siden vi bare ser etter hva de mistenkelige aktørene på nettverket ditt gjør, må du sørge for at det aktuelle systemet er online. Gå videre og fange noen få minutters trafikk. Deretter kan du filtrere den trafikken basert på IP-adressen til den enheten ved å bruke Wiresharks innebygde filtre.

Ved å gjøre dette får du en rask oversikt over hvem IP-adressen snakker med og hvilken informasjon de sender frem og tilbake. Du kan høyreklikke på hvilken som helst av disse pakkene for å inspisere den, følge samtalen mellom begge ender og filtrere hele fangsten etter IP eller samtale. For mer, sjekk ut Wireshark's detaljerte filtreringsinstruksjoner .

Du vet kanskje ikke hva du ser på (ennå) - men det er her en liten luring kommer inn.

Analyser skissemessig aktivitet

Hvis du ser den mistenkelige datamaskinen snakke med en merkelig IP-adresse, bruk nsoppslag kommando (i ledeteksten i Windows, eller i en terminal i OS X eller Linux) for å få vertsnavnet. Det kan fortelle deg mye om plasseringen eller typen nettverk datamaskinen din kobler til. Wireshark forteller deg også portene som brukes, så Google portnummeret og se hvilke applikasjoner som bruker det.

Hvis du for eksempel har en datamaskin som kobler til et merkelig vertsnavn over porter som ofte brukes til IRC eller filoverføring, kan det hende du har en inntrenger. Selvfølgelig, hvis du oppdager at enheten kobler til anerkjente tjenester over ofte brukte porter for ting som e-post eller HTTP/HTTPS, kan det hende du nettopp har snublet over et nettbrett som romkameraten din aldri fortalte deg at han eide, eller noen ved siden av som stjeler wifi-en din. Uansett vil du ha dataene som kreves for å finne ut av det på egen hånd.

Trinn fire: Spill det lange spillet og logg fangstene dine

  Bilde for artikkel med tittelen Slik trykker du på nettverket ditt og ser alt som skjer på det
Skjermbilde: Alan Henry

Selvfølgelig vil ikke alle dårlige skuespillere på nettverket ditt være på nett og leke bort mens du leter etter dem. Frem til dette punktet har vi lært deg hvordan du kan se etter tilkoblede enheter, skanne dem for å identifisere hvem de egentlig er, og deretter snuse litt av trafikken deres for å sikre at alt er over bord. Men hva gjør du hvis den mistenkelige datamaskinen gjør det skitne arbeidet sitt om natten når du sover, eller noen leker wifi-en din når du er på jobb hele dagen og ikke er i nærheten for å sjekke?

Bruk programvare for nettverksovervåking

Det er et par måter å løse dette på. Et alternativ er å bruke et program som Glasswire , som vi nevnte tidligere. Denne programvaren vil varsle deg når noen er koblet til nettverket ditt. Når du våkner om morgenen eller kommer hjem fra jobb, kan du se hva som skjedde mens du ikke så.

Sjekk ruterens logg

Ditt neste alternativ er å bruke ruterens loggfunksjoner. Begravd dypt i ruterens feilsøkings- eller sikkerhetsalternativer er vanligvis en fane dedikert til logging. Hvor mye du kan logge og hva slags informasjon varierer etter ruter, men alternativene kan inkludere innkommende IP, destinasjonsportnummer, utgående IP eller URL filtrert av enheten på nettverket ditt, intern IP-adresse og deres MAC-adresse, og hvilke enheter på din nettverk har sjekket inn med ruteren via DHCP for deres IP-adresse (og, ved proxy, som ikke har det.) Det er ganske robust, og jo lenger du lar loggene kjøre, jo mer informasjon kan du fange opp.

Tilpasset firmware som DD-WRT og Tomato (begge vi har vist deg hvordan installere ) lar deg overvåke og logge båndbredde og tilkoblede enheter så lenge du vil, og kan til og med dumpe den informasjonen til en tekstfil som du kan sile gjennom senere. Avhengig av hvordan du har konfigurert ruteren, kan den til og med sende den filen til deg regelmessig eller slippe den på en ekstern harddisk eller NAS.

Uansett, bruk av ruterens ofte ignorerte loggingsfunksjon er en fin måte å se om, for eksempel etter midnatt og alle har lagt seg, spill-PC-en din plutselig begynner å knase og overføre mye utgående data, eller du har en vanlig igle. som liker å hoppe på wifi-en din og begynne å laste ned torrenter til uvanlige timer.

Hold Wireshark i gang

Ditt siste alternativ, og en slags kjernefysisk alternativ, er å bare la Wireshark fange i timer – eller dager. Det er ikke uhørt, og mange nettverksadministratorer gjør det når de virkelig analyserer merkelig nettverksatferd. Det er en fin måte å finne dårlige skuespillere eller chatty-enheter. Det krever imidlertid å la en datamaskin stå på i evigheter, konstant snuse pakker på nettverket ditt, fange opp alt som går på tvers av den, og disse loggene kan ta en god del plass. Du kan trimme ting ved å filtrere fangst etter IP eller type trafikk, men hvis du ikke er sikker på hva du leter etter, vil du ha mye data å sile gjennom når du ser på en fangst over selv noen timer. Likevel vil den definitivt fortelle deg alt du trenger å vite.

I alle disse tilfellene, når du har logget nok data, vil du kunne finne ut hvem som bruker nettverket ditt, når og om enheten deres samsvarer med nettverkskartet du laget tidligere.

Trinn fem: Lås nettverket ditt

Hvis du har fulgt med hit, har du identifisert enhetene som skal kunne kobles til hjemmenettverket ditt, de som faktisk kobles til, identifisert forskjellene og forhåpentligvis funnet ut om det er noen dårlige skuespillere, uventede enheter, eller igler som henger rundt. Nå er alt du trenger å gjøre å håndtere dem, og overraskende nok er det den enkle delen.

Wifi-igler vil få støvelen så snart du låse ruteren din . Før du gjør noe annet, endre ruterens passord og slå av WPS hvis den er slått på. Hvis noen har klart å logge direkte på ruteren din, vil du ikke endre andre ting bare for å få dem til å logge på og få tilgang igjen. Sørg for at du bruker et godt, sterkt passord som er vanskelig å bruke.

Se deretter etter fastvareoppdateringer. Hvis iglen din har benyttet seg av en utnyttelse eller sårbarhet i ruterens fastvare, vil dette holde dem ute – forutsatt at utnyttelsen er korrigert, selvfølgelig. Til slutt, sørg for at den trådløse sikkerhetsmodusen er satt til WPA2 (fordi WPA og WEP er det veldig lett å knekke ) og endre wifi-passordet ditt til et annet godt, langt passord som ikke kan tvinges brutalt. Deretter er de eneste enhetene som skal kunne koble til på nytt de du gir det nye passordet til.

Det bør ta vare på alle som leker wifi-en din og gjør all nedlasting på nettverket ditt i stedet for deres. Det vil også hjelpe med kablet sikkerhet. Hvis du kan, bør du også ta noen ekstra trinn for trådløs sikkerhet , som å slå av ekstern administrasjon eller deaktivere UPnP.

For dårlige skuespillere på kablede datamaskiner har du litt å lete. Hvis det faktisk er en fysisk enhet, bør den ha en direkte tilkobling til ruteren din. Begynn å spore kabler og snakk med romkameratene dine eller familien for å se hva som skjer. I verste fall kan du alltid logge tilbake på ruteren og blokkere den mistenkelige IP-adressen helt. Eieren av den set-top-boksen eller den stille tilkoblede datamaskinen kommer løpende ganske raskt når den slutter å fungere.

  Bilde for artikkel med tittelen Slik trykker du på nettverket ditt og ser alt som skjer på det
Skjermbilde: Alan Henry

Den største bekymringen her er imidlertid kompromitterte datamaskiner. Et skrivebord som er blitt kapret og koblet til et botnett for Bitcoin-utvinning over natten, for eksempel, eller en maskin infisert med skadelig programvare som ringer hjem og sender din personlige informasjon til hvem-vet-hvor, kan være dårlig.

Når du begrenser søket til bestemte datamaskiner, er det på tide å utrydde hvor problemet ligger på hver maskin. Hvis du virkelig er bekymret, ta sikkerhetsingeniørens tilnærming til problemet: Når maskinene dine er eid, er de ikke lenger pålitelige. Blås dem bort, installer på nytt og gjenopprett fra sikkerhetskopiene dine. ( Du har sikkerhetskopier av dataene dine, ikke sant ?) Bare sørg for at du holder et øye med PC-en din – du vil ikke gjenopprette fra en infisert sikkerhetskopi og starte prosessen på nytt.

Hvis du er villig til å brette opp ermene, kan du skaffe deg et solid antivirusverktøy og en anti-malware on-demand skanner ( ja, du trenger begge deler ), og prøv å rense den aktuelle datamaskinen. Hvis du så trafikk for en bestemt type applikasjon, se om det ikke er skadelig programvare eller bare noe noen har installert som oppfører seg dårlig. Fortsett å skanne til alt er rent, og fortsett å sjekke trafikken fra den datamaskinen for å sikre at alt er i orden.

Vi har bare virkelig skrapet i overflaten her når det kommer til nettverksovervåking og sikkerhet. Det er tonnevis av spesifikke verktøy og metoder som eksperter bruker for å sikre nettverkene sine, men disse trinnene vil fungere for deg hvis du er nettverksadministratoren for hjemmet og familien din.

Å rote ut mistenkelige enheter eller igler på nettverket ditt kan være en lang prosess, en prosess som krever etterforskning og årvåkenhet. Likevel prøver vi ikke å tromme opp paranoia. Sjansen er at du ikke vil finne noe utenom det vanlige, og de trege nedlastingene eller elendige wifi-hastighetene er noe helt annet. Likevel er det greit å vite hvordan du undersøker et nettverk og hva du skal gjøre hvis du finner noe ukjent. Bare husk å bruke kreftene dine for godt.

Denne historien ble opprinnelig publisert i oktober 2014 og ble oppdatert i oktober 2019 med aktuell informasjon og ressurser. Oppdatert 3/3/22 med nye detaljer.