Ta witryna wykorzystuje pliki cookie, dowiedz się więcej Zgadzam się
>>> Strona główna >>> Archiwum wiadomości >>> Czy twój pecet jest w rękach hakerów? cd.

Czy twój pecet jest w rękach hakerów? cd.

Analiza połączeń sieciowych.

Przemycenie i uruchomienie szkodliwego kodu służy otwarciu tylnych drzwi w systemie, co umożliwia przejęcie nad nim kontroli. Spamowanie za pomocą komputera ofiary umożliwia port 25, który nie wymaga uwierzytelniania użytkownika i dlatego w wiadomości pocztowej może być podany dowolny nadawca. Gdyby operatorzy przepuszczali pocztę przez port 587, który wymaga uwierzytelniania, byłoby znacznie mniej spamu.
Analizę połączeń sieciowych w czasie rzeczywistym i obserwację, z kim się komunikują umożliwia takie narzędzie, jak TCPView (dostępny pod adresem: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx). 

W pierwszej kolumnie znajduje się nazwa procesu i jego identyfikator (PID), w kolumnie Local Adress pojawia się nazwa komputera, z którego zostaje nawiązane połączenie (czyli twojego komputera) i numer portu stosowanego w danej chwili do wysyłania/odbierania danych. Czwarta kolumna zawiera adres komputera, z którym jest nawiązane połączenie. W kolejnej, ostatniej jest bieżący stan połączenia. Established oznacza, że właśnie trwa transmisja danych. Listening sygnalizuje nasłuchiwanie. W kolumnie Remote Address napis localhost lub 127.0.0.1 oznacza, że komunikacja odbywa się wewnątrz twojego komputera np proces komunikuje się ze swoim serwerem WWW.
Istotne jest identyfikowanie niebezpiecznych połączeń. Tutaj kryterium rozróżnienia przyjaznych i niebezpiecznych połączeń jest rodzaj stosowanego portu: porty z zakresu od 0 do 1023 są w zasadzie bezpieczne, porty z zakresu od 1024 do 49 151, które nie są przypisane do określonych usług, stosowane są przez aplikacje takie jak klienty FTP, przeglądarki internetowe, programy pocztowe i komunikatory. Jeżeli port z tego zakresu został otwarty dla procesu, którego nazwa nic użytkownikowi nie mówi, warto zainteresować się procesem i sprawdzić Process→Properties. Porty z zakresu od 49 152 do 65 535 (Dynamic Ports) są szczególnie ulubione prze trojany i inne szkodniki i dlatego, jeżeli aplikacja z niego korzysta, należy szczególnie przyjrzeć się takiemu procesowi. W analizie procesu pomoże anglojęzyczny program Process Explorer (dostępny pod adresem http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx). Szczegółowy opis użycia Process Explorera można znaleźć w artykule Krzysztofa Daszkiewicza i Chrystiana Löberinga w PC World Komputer z września 2008 r.

 Oprac. na podstawie PC Word Komputer
 Magdalena Hornowska

Robocik WWSI