Nemrégiben furcsa bejegyzéseket láttam a csak helyi webszerveremen. A helyzet az, hogy nem tudom, hogy a támadás a hálózaton kívülről vagy egy fertőzött gépről származott-e. Olvastam egy kicsit a hnap támadásról, de még mindig nem vagyok benne biztos. mit tegyek ellene. Lényegében a Cisco útválasztók az “otthoni hálózati adminisztrációs protokoll” miatt vannak sebezhetőségekkel. És amit olvastam, nincs megoldás.

Ha egy fertőzött rendszerről van szó, azt szeretném pontosan meghatározni a hálózati forgalom meghallgatásával, de nem vagyok biztos benne, hogyan kell ezt megtenni. megpróbálta használni a snort és a wireshark programokat, de ezek a programok elég fejlettnek tűnnek. Alternatív megoldásként arra gondolok, hogy ha valaki képes volt kompromittálni a hálózatomat feltörve a hálózati kulcsot, csatlakozhatnak a hálózathoz, és futtathatnak bármilyen keresést. Ellenkező esetben esetleg valaki a helyi hálózaton kívülről ér el. : 

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).

Mit tehetek a probléma felkutatásához? Van-e egyszerű módszer arra, hogy meghallgasson több ilyen kérést és pontosan meghatározza a forrást? rosszindulatú vagy kémprogram-leolvasók, amelyek felfoghatnak egy férget?

(Korszerű víruskeresőt használok, és nem észlel semmit, ezért vannak ilyenek.)

Válasz

Amit talált, az az a hirdetés volt evice csatlakozik a webkiszolgálóhoz és kért / HNAP1 /

A HNAP az eszközök kezelésére szolgáló protokoll, tehát csak a potenciális támadásokkal kapcsolatos információkkal , azt hiszem, hogy ezt egy olyan eszköz tette a hálózaton, amely támogatja ezt a protokollt (pl. lehet, hogy megpróbálja megszerezni az útválasztótól a nyilvános IP-címet).

A naplósornak tartalmaznia kell annak a kliensnek az IP-címét, amely ilyen kérést tett, például: 

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

ebben az esetben a kérést 192.168.123.123 teljesítette volna.

¹ Feltételezem, hogy a Közös naplóformátum , ha egyéni formátumot használ, akkor valahol hozzá kell adnia a távoli címet)

A frissítéssel kapcsolatban a « Az érvénytelen HTTP_HOST fejléc »üzenet itt többnyire lényegtelen. Az ügyfél csatlakozott, megadva, hogy beszélni akar (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), de a kiszolgáló nincs konfigurálva virtuális gazdagépekkel azok számára. A fontos darab a baloldali IP (bár ha a külső és a VirtualBox interfészt is felsorolja, akkor valószínűleg azt jelenti, hogy a számítógépéről származik).

Megjegyzések

  • A forráscím a számítógépem IP-címe, a virtuális átjáró IP-je (virtuális dobozos hálózat) és az útválasztó-átjáró IP-je volt (például 192.168.1.1). Ez azt jelzi, hogy a számítógépem sérült?
  • @TechMedicNYC, így több három kérése volt a / HNAP1 / cinung számára különböző IP-címekről?
  • I ' frissítette a kérdéstestet az egyértelműség érdekében. Megmutatja a példa forrás IP-ket és helyeket.
  • @TechMedicNYC Frissítettem a válaszomat. A fontos elem a bal oldalon lévő IP-cím, nem pedig a Host fejlécen található.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük