Tools zur Überwachung von Hackversuchen / Port-Sniffing

Welche Tools stehen zur Verfügung, mit denen ich überwachen kann, ob jemand einen Port-Sniffer auf meinem Computer verwendet und / oder mögliche Hacking-Versuche anzeigt? Ich verwende OneCare, aber die Firewall-Informationen sind sehr begrenzt (AFAICT). Gibt es Tools zum Herunterladen, mit denen verdächtige eingehende Aktivitäten überwacht werden können?

Vielen Dank

Dies hängt von Ihrer Netzwerkeinrichtung ab:

Fast alle Router haben eine integrierte Firewall, und Sie haben wahrscheinlich eine, sodass fast alle eingehenden Netzwerkangriffe blockiert werden, bevor Ihr Computer sie sieht. Sie müssen also in Ihrer Routerkonfiguration nach Parametern und Protokollen suchen.

Zur Überwachung von Netzwerkgeräten gibt es im Wesentlichen zwei Protokolle: Syslog und SNMP

Wenn Ihr tatsächlicher Router / Setup nicht ausreicht, können Sie mit der dd-wrt- Firmware fast alle professionellen Router-Funktionen (also erweiterte Protokollierung ) auf einem Heim-Router nutzen (wenn dieser kompatibel ist und über genügend CPU-Leistung und Arbeitsspeicher verfügt). ( OpenWRT und Tomato sind ebenfalls beliebte Alternativen, haben jedoch ein weniger kompatibles Gerät und / oder sind weniger benutzerfreundlich)

• Und hier sind einige Windows-Clients / Logs-Analyse-Tools für Syslog und SNMP:
  • Wallwatcher
  • SNMP-Trap-Watcher
  • SNMPLog
  • LinkLogger (50 $)
  • Kiwi Log Viewer (60 €)
• Und einige allgemeinere Tools zur Protokollanalyse:
  • LogViewer Pro
  • BareTail

(Serverseitige Software: integrierter Windows Server SNMP-Dienst - Liste der Windows-Syslog-Server in dieser Serverfehlerfrage - Linux-integrierter Syslogd - oder alternativer Dämon: rsyslog / syslog-ng (dieser hat einen Windows-Port in Cygwin- Paketen) )

Hosts überwachen

Trotzdem, wenn Ihr Netzwerk teilweise / vollständig offen ist oder Ihr Computer direkt verbunden ist, und um ausgehende verdächtige Aktivitäten zu überwachen:

Comodo Internet Security ist eine gute kostenlose Firewall, mit der alle übereinstimmenden Regeln protokolliert werden können. (Die kostenlose Online- Firewall von Armor & PC Tools Plus hat ebenfalls gute Bewertungen erhalten, ich verwende sie jedoch nicht und weiß nicht, welche Protokollierungsfunktionen sie bieten.)

(Es enthält auch ein sehr gutes HIPS (Host-basiertes Intrusion Prevention-System), aber wenn Sie ein dediziertes Produkt wünschen : Threatfire und Winpatrol haben einen guten Ruf.)

Mehr Netzwerkinspektion

Wie von qwertyKid vorgeschlagen, könnten Sie mit der Paketinspektion noch einen Schritt weiter gehen, und Wireshark ist mit Sicherheit das leistungsstärkste Tool dafür.
(Es ist auch eine gute Idee, einen Hub / Smart-Switch zu verwenden, um Pakete weiterzuleiten, um zu überprüfen, was in Ihrem Netzwerk ankommt. Seien Sie jedoch vorsichtig, leiten Sie Pakete nur an einen unsensiblen und gut geschützten Computer weiter ...)

Alternativ können Sie einfachere Tools wie die von NirSoft verwenden :

• CurrPorts : Zeigt die Liste aller aktuell geöffneten TCP / IP- und UDP-Ports sowie den Prozess an, der sie verwendet
• SmartSniff : Erfassen Sie TCP / IP-Pakete, die über Ihren Netzwerkadapter übertragen werden, und zeigen Sie die erfassten Daten als Abfolge von Gesprächen zwischen Clients und Servern an.
• Mit IPNetInfo können Sie auf einfache Weise alle verfügbaren Informationen zu einer IP-Adresse finden: Der Eigentümer der IP-Adresse, der Name des Landes / Bundesstaates, der IP-Adressbereich, Kontaktinformationen (Adresse, Telefon, Fax und E-Mail) und vieles mehr.
• Mit WhoisThisDomain können Sie auf einfache Weise Informationen zu einer registrierten Domain abrufen .

Mehr allgemeine Sicherheit

Wenn Ihr Computer gefährdet ist, kann die Netzwerküberwachung und -inspektion völlig nutzlos sein. Der erste Schritt besteht darin, ihn zu sichern:

• Installieren Sie ein gutes Virenschutzprogramm: Microsoft Security Essential und Avira sind eine gute Wahl und kostenlos.
• Verwenden Sie gelegentlich ein spezialisierteres Anti-Rootkit: RootkitRevealer oder Gmer
• Verwenden Sie gelegentlich einen alternativen On-Demand-Virenscanner: Kaspersky Virus Removal Tool , Malwarebytes 'AntiMalware oder einen der vielen webbasierten

Und da Menschen der schwächste Teil der Computersicherheit sind, sollten Sie vorsichtig sein, was Sie tun ...

Sie können wireshark auf Ihrem Computer einrichten, um festzustellen, welche Pakete von Ihrem System kommen und gehen.

Wenn Sie dies für das gesamte Netzwerk tun möchten, müssen Sie entweder einen Hub oder einen Smart-Switch verwenden, der es dem Port ermöglicht, mit dem Sie eine physische Verbindung herstellen, um alle Pakete an diesen weiterzuleiten, nicht nur die vordefinierten Ziele (nach MAC-Adresse) .

Die Lösung, nach der Sie suchen, wird allgemein als "Intrusion Detection Systems" oder IDS bezeichnet. Es gibt Unmengen dieser Werkzeuge da draußen. Fragen Sie auf serverfault.com nach IDS-Empfehlungen (oder suchen Sie, vielleicht hat jemand bereits)

Wenn Sie nur versuchen, Statistiken über solche Dinge zu sammeln, könnten Sie so etwas wie einen winzigen Telefontopf betreiben. Dadurch werden alle Ports auf Ihrem System überwacht, die tatsächlich nicht verwendet werden. Nach außen hin sieht es also so aus, als hätten Sie jede Menge Dinge offen. Es ist nur ein einfacher Honeypot mit geringer Interaktion. Wenn Sie so etwas wirklich mögen, finde ich das Buch "Virtual Honeypots" großartig.