ネットワークをタップして、その上で起こっていることをすべて見る方法

  「ネットワークを盗聴して、その上で起こっていることをすべて見る方法」というタイトルの記事の画像
画像:シャッターストック(シャッターストック)

ホーム ネットワーク (およびそれに接続されているすべてのもの) は、金庫のようなものです。ログインの背後には、個人データを含む暗号化されていないファイルから、乗っ取られてあらゆる目的に使用される可能性のあるデバイスまで、大量の貴重な情報が隠されています。この投稿では、ネットワークを詳細に説明する方法、カバーの下を覗いて誰が何と話しているかを確認する方法、およびデバイスやプロセスが帯域幅を消費している (またはネットワーク上の予期しないゲストである) 可能性があることを明らかにする方法を紹介します。 .


つまり、ネットワーク上の何かが侵害されている兆候を認識できるようになります。ルーターのデバイスのリストを見つける方法やMACアドレスとは何かなど、ネットワークの基本をいくつか理解していることを前提としています.そうでない場合は、私たちに向かいます ノウ・ユア・ネットワークナイトスクール まずはブラッシュアップ。

ただし、先に進む前に、警告を発行する必要があります。これらの権限は永久に使用し、所有または管理するハードウェアまたはネットワークでのみこれらのツールとコマンドを実行してください。あなたの親切な近所の IT 部門は、あなたが企業ネットワーク上でポート スキャンやパケットのスニッフィングを行うことを嫌がります。

ステップ 1: ネットワーク マップを作成する

コンピュータにログオンする前に、ネットワークについて知っていると思うことを書き留めておいてください。 1 枚の紙から始めて、接続されているすべてのデバイスを書き留めます。これには、スマート TV、スマート スピーカー、ラップトップとコンピューター、タブレットと電話、またはネットワークに接続されている可能性のあるその他のデバイスが含まれます。それが役立つ場合は、家の部屋ごとの地図を描いてください。次に、すべてのデバイスとその場所を書き留めます。同時にインターネットに接続しているデバイスの数に驚くかもしれません。

ネットワーク管理者とエンジニアは、このステップを認識しています。これは、なじみのないネットワークを調査するための最初のステップです。その上にあるデバイスのインベントリを作成し、それらを特定してから、現実が期待したものと一致するかどうかを確認してください。そうでない場合(またはそのとき)、知っていることと知らないことをすばやく区別できます。


ルーターにログインしてステータスページを見て、何が接続されているかを確認したくなるかもしれませんが、まだそれを行わないでください. IP アドレスと MAC アドレスでネットワーク上のすべてを特定できない限り、侵入者やフリーローダーを含む大量のリストを取得するだけです。最初に実物棚卸を行い、次にデジタル棚卸に進みます。

ステップ 2: ネットワークを調べて、誰が接続しているかを確認します

  「ネットワークを盗聴して、その上で起こっていることをすべて見る方法」というタイトルの記事の画像
スクリーンショット: アラン・ヘンリー

ネットワークの物理マップとすべての信頼できるデバイスのリストを取得したら、掘り下げます。ルーターにログインして、接続されているデバイスのリストを確認します。これにより、名前、IP アドレス、および MAC アドレスの基本的なリストが得られます。ルーターのデバイス リストには、すべてが表示される場合と表示されない場合があることに注意してください。表示されるはずですが、一部のルーターでは、そのルーターを IP アドレスに使用するデバイスのみが表示されます。いずれにせよ、そのリストは脇に置いておいてください。それは良いことですが、もっと情報が必要です。


Nmap をダウンロードしてインストールする

次に、 私たちの旧友 Nmap .なじみのない方のために説明すると、Nmap はクロスプラットフォームのオープンソース ネットワーク スキャン ツールであり、ネットワーク上にあるデバイスとそれらのデバイスに関する膨大な詳細情報を見つけることができます。使用しているオペレーティング システム、IP アドレスと MAC アドレス、開いているポートとサービスも確認できます。 Nmapのダウンロードはこちら 、 チェックアウト これらのインストール ガイド それを設定し、 これらの指示に従ってください ホーム ネットワーク上のホストを検出します。

1 つのオプションは、コマンド ラインから Nmap をインストールして実行することです (グラフィカル インターフェイスが必要な場合は、 ゼンマップ 通常はインストーラーに付属しています)。ホーム ネットワークに使用している IP 範囲をスキャンします。これにより、セキュリティを強化した一部を除いて、ホーム ネットワーク上のアクティブなデバイスのほとんどが明らかになりました (ただし、上記のリンクで見つけることができる Nmap のコマンドの一部でも検出可能でした)。


  「ネットワークを盗聴して、その上で起こっていることをすべて見る方法」というタイトルの記事の画像
スクリーンショット: アラン・ヘンリー

Nmap のリストとルーターのリストを比較します

以前に書き留めたものの電源がオフになっていない限り、両方のリストに同じものが表示されるはずです。ルーターに Nmap が表示されないものがある場合は、その IP アドレスに対して直接 Nmap を使用してみてください。

次に、Nmap がデバイスについて見つけた情報を調べます。 Apple TV であると主張している場合、たとえば、http などのサービスを実行するべきではありません。奇妙に見える場合は、具体的に調べて詳細を確認してください。

Nmap は非常に強力なツールですが、使いやすいとは言えません。あなたが少し銃に恥ずかしがり屋なら、他の選択肢がいくつかあります. 怒っている IP スキャナー は、見栄えがよく使いやすいインターフェイスを備えた別のクロスプラットフォーム ユーティリティで、多くの同じ情報を提供します。 ワイヤレス ネットワーク ウォッチャー Windows ユーティリティ 接続しているワイヤレス ネットワークをスキャンします。 グラスワイヤー デバイスがネットワークに接続または切断されたときに通知するもう 1 つの優れたオプションです。

ステップ 3: 周りを嗅ぎ回って、みんなが誰と話しているかを確認する

ここまでで、知っていて信頼できるデバイスのリストと、ネットワークに接続されていることがわかっているデバイスのリストができているはずです。運が良ければ、ここですべてが一致するか、一目瞭然です (たとえば、現在オフになっているテレビなど)。


ただし、認識できないアクター、デバイスに対応しないサービスが実行されている場合 (なぜ私の Roku は postgresql を実行しているのですか?)、または何か気分が悪い場合は、少しスニッフィングを行うときです。つまり、パケット スニッフィングです。

2 台のコンピューターがネットワーク上またはインターネット経由で通信する場合、「パケット」と呼ばれる情報のビットが相互に送信されます。これらのパケットをまとめると、視聴するビデオやダウンロードするドキュメントを構成する複雑なデータ ストリームが作成されます。パケット スニッフィングは、これらの情報をキャプチャして調査し、その送信先と内容を確認するプロセスです。

Wireshark をインストールする

これを行うには、 ワイヤーシャーク .これはクロスプラットフォームのネットワーク監視ツールであり、以前はパケット スニッフィングを少し行っていました。 パスワードと Cookie をスニッフィングするためのガイド .この場合、同様の方法で使用しますが、目標は特定のものをキャプチャすることではなく、ネットワークを通過するトラフィックの種類を監視することだけです.

これを行うには、「」で Wi-Fi 経由で Wi​​reshark を実行する必要があります。 無差別モード 」つまり、コンピュータとの間で送受信されるパケットを探すだけでなく、ネットワーク上で確認できるパケットを収集することを目的としています。

セットアップするには、次の手順に従います。

  • Wireshark をダウンロードしてインストールする
  • Wi-Fi アダプターを選択します。
  • [キャプチャ] > [オプション] をクリックします。上のビデオでわかるように ( ハク5 )、そのアダプタに対して「プロミスキャス モードですべてをキャプチャ」を選択できます。

これで、パケットのキャプチャを開始できます。キャプチャを開始すると、多くの情報が得られます。幸いなことに、Wireshark はこれを予期しており、フィルタリングを容易にします。

  「ネットワークを盗聴して、その上で起こっていることをすべて見る方法」というタイトルの記事の画像
スクリーンショット: アラン・ヘンリー

ネットワーク上の疑わしいアクターが何をしているかを確認しているだけなので、問題のシステムがオンラインであることを確認してください。先に進んで、数分分のトラフィックをキャプチャしてください。次に、Wireshark の組み込みフィルターを使用して、そのデバイスの IP アドレスに基づいてそのトラフィックをフィルタリングできます。

これを行うと、その IP アドレスが誰と話しているのか、どのような情報がやり取りされているのかがすぐにわかります。これらのパケットのいずれかを右クリックして検査し、両端間の会話を追跡し、IP または会話によってキャプチャ全体をフィルター処理できます。詳細については、Wireshark をチェックしてください。 詳細なフィルタリング手順 .

何を見ているのか (まだ) わからないかもしれませんが、ここでちょっとした調査の出番です。

大ざっぱな活動を分析する

不審なコンピュータが奇妙な IP アドレスと通信しているのを見つけたら、 nslookup コマンド (Windows のコマンド プロンプト、または OS X または Linux のターミナル) でホスト名を取得します。これにより、コンピューターが接続しているネットワークの場所や種類について多くのことを知ることができます。 Wireshark は使用されているポートも教えてくれるので、Google でポート番号を調べて、どのアプリケーションがそれを使用しているかを調べます。

たとえば、IRC やファイル転送によく使用されるポートを介して奇妙なホスト名に接続しているコンピュータがある場合、侵入者がいる可能性があります。もちろん、デバイスが電子メールや HTTP/HTTPS などの一般的に使用されるポートを介して評判の良いサービスに接続していることがわかった場合は、ルームメイトが所有しているとは言わなかったタブレットに出くわしたか、隣の誰かがあなたの Wi-Fi を盗んでいる可能性があります。いずれにせよ、自分でそれを理解するために必要なデータが得られます。

ステップ 4: 長いゲームをプレイしてキャプチャを記録する

  「ネットワークを盗聴して、その上で起こっていることをすべて見る方法」というタイトルの記事の画像
スクリーンショット: アラン・ヘンリー

もちろん、ネットワーク上のすべての悪意のある人物がオンラインにいて、探している間に逃げ出すわけではありません。ここまでは、接続されているデバイスをチェックし、それらをスキャンして実際に誰であるかを特定し、トラフィックを少し盗聴して、すべてがボード上にあることを確認する方法を説明しました.しかし、不審なコンピューターが夜寝ているときに汚い仕事をしている場合や、一日中仕事をしていてチェックしていないときに誰かがあなたの Wi-Fi を盗んでいる場合はどうしますか?

ネットワーク監視ソフトウェアを使用する

これに対処するには、いくつかの方法があります。 1つのオプションは、次のようなプログラムを使用することです グラスワイヤー 、先に述べました。このソフトウェアは、誰かがあなたのネットワークに接続したときに警告します。朝起きたときや仕事から帰ってきたとき、見ていない間に何が起こったのかがわかります。

ルーターのログを確認する

次のオプションは、ルーターのログ機能を使用することです.通常、ルーターのトラブルシューティングやセキュリティ オプションの奥深くにあるのは、ログ専用のタブです。ログに記録できる量と情報の種類はルーターによって異なりますが、オプションには、着信 IP、宛先ポート番号、ネットワーク上のデバイスによってフィルター処理された発信 IP または URL、内部 IP アドレスとその MAC アドレス、およびネットワーク上のどのデバイスが含まれるかを含めることができます。ネットワークは DHCP 経由でルーターにチェックインし、IP アドレスを確認しました (そしてプロキシ経由でチェックインしましたが、そうではありませんでした)。これは非常に堅牢であり、ログを実行している時間が長ければ長いほど、より多くの情報を取得できます。

DD-WRT や Tomato などのカスタム ファームウェア (どちらも お見せしました インストールする方法 )を使用すると、帯域幅と接続されているデバイスを必要なだけ監視してログに記録できます。また、その情報をテキスト ファイルにダンプして後でふるいにかけることもできます。ルーターの設定方法によっては、そのファイルを定期的にメールで送信したり、外付けハード ドライブや NAS にドロップしたりすることもできます。

いずれにせよ、ルーターの無視されがちなログ機能を使用することは、たとえば、真夜中過ぎに全員が就寝したときに、ゲーム用 PC が突然クランチを開始して大量の送信データを送信し始めたり、通常のリーチがあるかどうかを確認するための優れた方法です。あなたのwifiに飛び乗って、変な時間に急流のダウンロードを開始するのが好きな人.

Wireshark を実行し続ける

最後のオプション、そして核となるオプションのようなものは、Wireshark に数時間または数日間キャプチャさせることです。これは前例のないことではなく、多くのネットワーク管理者は、奇妙なネットワークの動作を実際に分析しているときに行っています。これは、悪意のある人物やおしゃべりなデバイスを突き止めるのに最適な方法です。ただし、コンピューターを長時間オンにしておく必要があり、ネットワーク上のパケットを常にスニッフィングし、ネットワークを通過するすべてのものをキャプチャする必要があり、それらのログはかなりのスペースを占有する可能性があります.キャプチャを IP またはトラフィックの種類でフィルタリングすることで、物事を切り詰めることができますが、何を探しているのかわからない場合は、キャプチャを見ているときに大量のデータをふるいにかけることになります。数時間。それでも、あなたが知る必要があることは間違いなくすべて教えてくれます。

これらすべての場合において、十分なデータがログに記録されると、誰がいつネットワークを使用しているか、そのデバイスが以前に作成したネットワーク マップと一致するかどうかを確認できます。

ステップ 5: ネットワークをロックダウンする

ここまでたどり着いたら、ホーム ネットワークに接続できるはずのデバイス、実際に接続するデバイス、違いを特定し、悪意のある人物や予期しないデバイスがあるかどうかを突き止めたことを願っています。またはヒルがぶら下がっています。あとはそれらに対処するだけです。驚くべきことに、それは簡単な部分です。

Wifi リーチは、あなたとすぐに起動します ルーターをロックする .他のことをする前に、ルーターのパスワードを変更し、WPS がオンになっている場合はオフにします。誰かがルーターに直接ログインできた場合、ログインしてアクセスを回復させるためだけに他の項目を変更したくはありません.ブルート フォース攻撃が困難な、適切で強力なパスワードを使用してください。

次に、ファームウェアの更新を確認します。リーチがルーターのファームウェアのエクスプロイトまたは脆弱性を利用した場合、もちろん、そのエクスプロイトにパッチが適用されていると仮定すると、これはそれらを締め出します.最後に、ワイヤレス セキュリティ モードが WPA2 に設定されていることを確認します (WPA と WEP は 非常に割れやすい )、Wi-Fi パスワードを別の有効な長いパスワードに変更します。総当たり攻撃は不可能です。次に、再接続できる唯一のデバイスは、新しいパスワードを与えたデバイスです.

これにより、あなたの Wi-Fi を盗み、自分のネットワークではなくあなたのネットワークですべてのダウンロードを行っている人に対処する必要があります。有線セキュリティにも役立ちます。可能であれば、あなたも取る必要があります いくつかの追加のワイヤレス セキュリティ手順 、リモート管理をオフにしたり、UPnP を無効にしたりします。

有線コンピューターの悪役については、いくつかのハンティングを行う必要があります。実際に物理デバイスである場合は、ルーターに直接接続する必要があります.ケーブルをたどり、ルームメイトや家族と話をして、何が起きているかを確認してください。最悪の場合、いつでもルーターに再度ログインして、疑わしい IP アドレスを完全にブロックできます。そのセットトップ ボックスまたは静かにプラグインされたコンピューターの所有者は、動作を停止するとすぐに実行に移されます。

  「ネットワークを盗聴して、その上で起こっていることをすべて見る方法」というタイトルの記事の画像
スクリーンショット: アラン・ヘンリー

ただし、ここでのより大きな懸念は、コンピューターの侵害です。たとえば、ハイジャックされてボットネットに参加し、一晩でビットコインをマイニングしているデスクトップや、マルウェアに感染したマシンが自宅に電話をかけ、誰が知っているかを知っている場所に個人情報を送信する場合は、悪い可能性があります.

検索を特定のコンピューターに絞り込んだら、各コンピューターのどこに問題があるかを突き止めます。本当に心配なら、セキュリティ エンジニアのアプローチに従って問題を解決してください。自分のマシンが所有されると、そのマシンはもはや信頼できなくなります。それらを吹き飛ばし、再インストールして、バックアップから復元します。 ( データのバックアップはありますよね 感染したバックアップから復元してプロセスを最初からやり直したくはありません。

袖をまくり上げても構わないと思っている場合は、強力なウイルス対策ユーティリティとマルウェア対策オンデマンド スキャナーを手に入れることができます ( はい、両方必要です )、問題のコンピューターのクリーニングを試みます。特定の種類のアプリケーションのトラフィックが見られた場合は、それがマルウェアではないか、または誰かがインストールしたもので動作が悪いのかを確認してください。すべてがクリーンになるまでスキャンを続け、そのコンピューターからのトラフィックをチェックして、すべてが問題ないことを確認します.

ネットワークの監視とセキュリティに関しては、ここでは表面をなぞっただけです。専門家がネットワークを保護するために使用する特定のツールや方法はたくさんありますが、自宅や家族のネットワーク管理者であれば、これらの手順が役に立ちます。

ネットワーク上の疑わしいデバイスやヒルを根絶することは、調査と警戒を必要とする長いプロセスになる可能性があります。それでも、パラノイアを煽ろうとしているわけではありません。ダウンロードが遅いとか Wi-Fi の速度が遅いとかは、まったく別物です。それでも、ネットワークを調査する方法と、なじみのないものを見つけた場合の対処法を知っておくとよいでしょう。あなたの力を永久に使うことを忘れないでください。

このストーリーは、2014 年 10 月に最初に公開され、2019 年 10 月に最新の情報とリソースで更新されました。新しい詳細で 3/3/22 を更新しました。