Monitoring Network Connection  (Attack Example)
 

در این صفحه یک مثال از یک Attack به Windows XP را بررسی می کنیم .سرور هایی در شبکه توسط مواردی همچون Spoofing و Worm ها

و همچنین قرار دادن BMP های آلوده  در Site های مختلف به IE و Microsoft Windows حمله می کنند در اینجا یک آدرس بنام LLNW.NET دارای

یک سری Host می باشد که این Attack را در Internet انجام می دهند .روش کار آنها بدین گونه می باشد که از مشکلات Windows استفاده می کنند

و به فایلهای مهمی همچون svchost.exe حمله می کنند . زمانی که Code بک Attacker بر روی سیستم شما اجرا شد این فایل که برای

Windows Services می باشد بصورت خود کار یک TCP,UDP Connection با یک یا چند IPAddress در Internet بر قرار می کند اگر این آدرس ها

برای Microsoft Websites نباشد حتما یک Attack می باشد .پس در نتیجه باید آدرسها را چک کرد تا متوجه شد که به کجا سیستم شما Connection

داده .این روش بسیار خطرناک می باشد چون هر وقت به Internet بروید این Connection ها ایجاد می شود .

در شکل 1 توسط دستور NETSTAT -aon  ما کلیه TCP,UDP Connection های سیستم را مشاهده می کنیم .در شکل 1 دو PID وجود دارد که با

Internet Address ارتباط برقرار کرده اند یکی 2848 می باشد که مربوط به IE و DAP می باشد دومی مشکوک می باشد 832 که مربوط به Svchost.exe

می باشد .

توسط دستور Tasklist همانند شکل 1 می توان متوجه شد که آن PID به کدام سرویس یا exe اشاره می کند .

اگر این exe یک برنامه می بود که ما آن را نصب کرده ایم خوب متوجه می شویم برای امنیت بیشتر سیستم خود آن را uninstall می کردیم و .....

اما در اینجا این یکی از فایلهای خود Windows می باشد که همیشه هم Use می باشد. و نمی توان آن را کاری کرد پس مشکل جدی می باشد .

  

   Figure 1: Netstat -aon and Tasklist <CMD>

در شکل 1 برای مشخص شدن DNS Name آن آدرس از دستور Netstat استفاده می کنیم و متوجه نام آن سرو نیز می شویم .

در اینجا یک راه وجود دارد که استفاده از Firewall می باشد و معرفی این نام بر روی آن برای Block کردن آن .

اگر بر روی Windows Firewall Log == %windir%\pfirewall.log نیز بروید می تواند اطلاعاتی در مورد آن آدرس نیز مشاهده کنید که

مشخص می کند که به چه Port هایی دسترسی پیدا کرده در چه زمانهایی .

  

   Figure 2: Netstat command

توسط برنامه Process Explorer همانند شکل 3 می توان آن Exe یا Task را مشاهده کرد .

  

   Figure 3: Process explorer tool

سپس بر روی آن رفته و Properties گرفته و در TCP/IP Tab می توانید مشاهده کنید که Svchost.exe با کدام آدرسها  چه Connection هایی

برقرار کرده و یا می کند .

  

   Figure 4: Process explorer tool - svchost.exe Properties - TCP/IP Tab

در آخر برای Admin های شبکه و Client ها می توان این نتیجه گیری را کرد که باید ارتباطات Internet با سیستم های شبکه را

را بیشتر مراقبت کنند و محدود کنند تا بتوانند مدعی باشند که شبکه آنها امن می باشد .توجه به این مورد که بر روی سیستم های Client

که به Internet می توانند متصل شوند نباید برنامه های غیره قابل اطمینان نصب شود خیلی مهم می باشد در سیستم های خانه  توصبه

می شود که برای Internet یک Windows دیگر نصب کنید و برنامه اضافه تا حد ممکن بر روی آن نصب نکنید .این مثال را می تواند یک Application

که شما نصب کرده اید نیز ایجاد کند بدون اینکه شما مطلع باشید .

در این مثال بکمک Firewall هایی که در بازار وجود دارد می تواند آدرسها و یا نام های سروها را به آنها داد تاPacket های Inbound , outbound به

آنها و از آنها را Block کنند . برای استفاده از روش های دیگر بهترین راه Search در Microsoft برای این نوع مشکلات می باشد .

 

برای Monitor کردن TCP Connection های سیستم می توانید از ابزار زیر استفاده کنید . این ابزار بصورت Realtime به شما TCP Connection ها را

نمایش می دهد و همچنین PID , Process مربوط به هر Connection را نمایش می دهد .

 

Last Updated: May 1, 2007

Winteacher.com
Monitoring Network Connection  (Attack Example)

 © 2003-2007 Winteacher.com . All rights reserved