簡單的入侵偵測

DDoS攻擊這麼盛行跟僵屍電腦的感染有很大的關係。努力讓自己的電腦;在使用盜版軟體風氣這麼盛行的環境下不被入侵,或至少被入侵時能偵測到的技能相信是必需的。

(1)利用wireshark偵測到疑似被入侵的封包,其中192.168.0.101是區網中自己的電腦,62.128.100.221疑似遠方遙控的電腦。





















(2)利用whois查詢發現遠端主機位置在烏克蘭。當然另一種可能是對方IP經過變造,只是目前不討論這種狀況。

















(3)利用網站Geobytes裏的Free online IP Address Location Tool發現到該IP實際位置可能位於下方幾個城市中(雖然上面寫Tallinn是100%,但實測上沒那麼準)。


























 
(4)利用netstat -ab(需管理員權限)這個dos指令,可以初步查到執行程式和遠端IP的相關性。



















(5)接著定期以sfc /scannow掃描系統檔有無損毁,避免被惡意軟體置換後淪為僵屍電腦。


(6)另外發現一個blog有寫簡單的木馬偵測步驟,係利用netstat -an、net start/stop及net user等三個指令操作來完成。

以上就是簡單的入侵偵測步驟。

沒有留言:

張貼留言