Wi-Fiで感染したマシンを検出するにはどうすればよいですか?
私は現在、40〜50人程度のテナント(主に学生)がいる建物に住んでおり、建物全体に広がる3つのwifiルーターの1つを使用して、インターネットへの1つの接続を共有しています。昨日、私たちの家主はISPから、ネットワーク上に「ウイルス」があり、IPアドレスからインターネットに送信される大量のスパムに関する苦情があったというメッセージを受け取りました。 1週間経っても問題が解決しない場合、インターネットは遮断されます。彼はまた、AVでシステムをスキャンしてスキャンログを送信するようメッセージを私たち全員に残したと述べましたが、状況がすでにそれほど悪い場合、これらのマシンのAVはすでに識別できなかったため、彼のアプローチはほとんど役に立たないと思いますシステム上のマルウェア..そして、それらがどんな種類の保護も持っていない場合、すでに感染しているので今それをインストールしようとしても、あまり役に立ちません。
そこで、家主に感染したマシンを探し出し、このゴミをインターネットに送り出す手助けをすることを考えました。現時点ではネットワークの「インフラストラクチャ」にアクセスできませんが、サポートを提供すれば入手できる可能性があります。
私の質問は-彼が感染したマシンを検出し、見つけるのを助けるために私は何ができるでしょうか?ネットワーク上の感染したマシンを見つけるために作られたツールはありますか?システムにIDSをセットアップして、攻撃対象を確認する必要がありますか?脆弱性スキャナーを使用して、たとえばConfickerのようなものを見つけることができることを知っています。たぶんNmap?他のアイデア?
私たちのネットワークは小さな家庭用wifiルーターで構成されており、特別なことを行う機能がないため、自分のコンピューターからこれらのマシンを検出できるアプローチを好みます。また、建物内のすべてのテナントに行って手動でマルウェアからコンピューターをクリーンアップしたくはありません(時間もありません)。私は、彼が彼のマシンを掃除するまで彼がネットワークから外れることができるように、誰が感染しているかを知りたいだけです。
もう1つの質問-ソリューションにネットワーク上のコンピューターのスキャンが含まれる場合、スキャンを実行することを許可されていることを、家主から書面による許可を求める必要がありますか?
どんなアイデアでも大歓迎です。ありがとうございました。
編集:これを行うことが許可されるかどうかに関係なく、これに対するいくつかの可能な解決策を見ていただければ幸いです問題。
あなたはISPが大量のスパムを検出したと言います。したがって、問題のあるシステムを見つける最も簡単な方法は、ポート25への接続について発信回線を監視することです。これらの多くを実行するホストを見つけた場合は、おそらく感染したマシンを見つけています。
これを行うには、最後のルーターの直前または直後を探知する必要があります。恐らく家主の協力が必要です。インターネットトランクの前のギアに応じて、転送とログを記録する2つのネットワークインターフェースを使用してLinuxボックスを間に置くことができます。また、他のマルウェアが拡散しようとしているのを見つけることもできます。
ただし、IANALに注意してください。おそらく、あなたは他人のプライバシーを侵害して、そのトラフィックをぶちまけ始めています。ただし、それをnetflowデータ(src ip、dst ip、srcポート、dstポート、時間、バイト)に保持する場合は、問題ありません。そして、それはスパマーを指摘するべきです。
アップリンクにアクセスできないため、ハニーポットをインストールしてパッシブアプローチを試すことができます。ハニーポットはネットワークを積極的にスキャンせず、一般に合法と見なされます。攻撃されるのを待っているバックグラウンドで実行されるだけです。あなたはネットワークの内側にいるので、攻撃された場合、攻撃ベクトルとソースに関する詳細情報を入手できます。