Você está na página 1de 3

Identificando invasores na rede do

Windows

Saudaes venho trazer mais esse tutorial de como saber se a sua rede est
sendo invadida por intrusos e espies. Como fazer isso sem o uso de
programas especficos?
Com as ferramentas do prprio Windows recomendo a partir do Windows XP.
No MS-DOS existe a ferramenta chamada de NETSTAT que exibe o estado da
rede atual.
netstat -no
Exibe os IPS que esto com a conexo estabelecida com o seu computador.

Observe que h portas locais que correspondem a determinados nmeros


de IP que por sua vez fazem a conexo externa atravs da porta SSH.

Anlise das informaes:


52.17.78.135:443 CLOSE_WAIT(Conexo fechada em espera) - Fazendo uma
simples pesquisa descobre-se que esse IP pertence a empresa
amazonaws.com neste caso porque estava acessando o Google pelo
navegador, explicarei isso em uma prxima postagem.
54.171.183.97:443 CLOSE_WAIT(Conexo fechada em espera) amazonaws.com AMAZON de novo
216.58.213.131:443 ESTABLISHED (Conexo estabelecida) com o site do
Google.com.br 173.194.118.70:443 ESTABLISHED (Conexo estabelecida)
Google novamente 173.194.118.70:443 ESTABLISHED (Conexo
estabelecida) Google novamente
64.233.190.191:443 ESTABLISHED (Conexo estabelecida) Outro IP do
Google
O Google particularmente utiliza alguns IPs para determinados tipos de servio
como a busca do Google, Blogger e Youtube, aparentemente nada de suspeito.
netstat -nvb
Exibe os programas ( .EXE) aos quais os IPS esto estabelecendo conexo,
esse comando exige privilgios de Administrador do PC.

Observe que ele exibe os programas principais que esto fazendo uso da
conexo com a internet, um programa suspeito poderia fazer uma conexo
com um IP de um servidor desconhecido.
Continuando o tutorial...como foi visto anteriormente usamos o NETSTAT para
monitorar a rede atravs do MS-DOS, porm existe uma ferramenta muito mais
fcil que foi adicionada ao Windows a partir do Windows 7, essa ferramenta se
chama Monitor de Recursos.
Com essa ferramenta possvel vistoriar os programas que esto em
execuo e utilizando enviando e recebendo dados na nossa rede nesse
momento.

Seu comando perfmon.exe /res


Para ns o que interessa a ferramenta de rede do monitor de recursos para ir
nela basta acessar a aba Rede.

Observe que existem Processos com Atividade de Rede, Atividade de


Rede, Conexes TCP e Portas de Escuta onde o mais importante para ns
sabermos o que est acontecendo na nossa rede, na maioria das vezes o IP do
invasor no estar associado a um programa como por exemplo o Chrome.exe,
voc pode clicar em Conexes TCP, selecionar toda a lista(CTRL+A) e copiar
a lista(CTRL+C) e vistoriar todos os IPs colando a lista em um Bloco de
Notas. A voc diz como vou saber se o IP que estou com dvida realmente
pertence a uma empresa sria ou um invasor?
Atravs do WHOIS
Esses servios permitem identificar a fonte de IPs, quando fiz o teste na minha
mquina fui em:
https://www.whatismyip.com/ip-whois-lookup/
https://who.is/whois-ip/ip-address/
https://geoiptool.com/
Existem muitos outros sites de WHOIS na internet, normalmente ele vai
identificar o dono do IP se for uma "Empresa Sria" ter uma descrio
resumida do proprietrio, supomos que o cara invada nossa mquina, qual a
primeira medida a ser tomada?
Exatamente bloquear o cara no Firewall.

Você também pode gostar