¿Cómo detectar las máquinas infectadas en mi wifi?

5

Actualmente vivo en un edificio con alrededor de 40-50 otros inquilinos (en su mayoría estudiantes) y todos compartimos una conexión a Internet mediante uno de los 3 enrutadores wifi que se encuentran en todo el edificio. Ayer, nuestro propietario recibió un mensaje del ISP que indica que hay "un virus" en la red y que ha habido quejas sobre la cantidad de spam que sale de Internet desde nuestra dirección IP. Si el problema no se resuelve en una semana, Internet se cortará de nosotros. También dijo que nos dejó un mensaje a todos nosotros para escanear nuestros sistemas con AV y enviarle registros de escaneo, pero si la situación ya es tan mala, creo que su enfoque será de poca ayuda ya que los AV en estas máquinas ya no identificaron malware en el sistema ... Y en caso de que ni siquiera tengan ningún tipo de protección, intentar instalarlo ahora que ya están infectados tampoco será muy útil.

Entonces, pensé en ofrecerle mi ayuda al propietario para que lo ayude a localizar las máquinas que están infectadas y que envíen toda esta basura a Internet. No tengo acceso a la "infraestructura" de nuestra red en este momento, pero es posible que pueda obtenerla si les ofrezco mi ayuda.

Mi pregunta es: ¿qué podría hacer para ayudarlo a detectar y localizar las máquinas infectadas? ¿Existen herramientas que se hayan creado con el propósito de encontrar máquinas infectadas en la red? ¿Debería tal vez configurar una IDS en mi sistema y luego ver qué está intentando atacarme? Sé que podría usar un escáner de vulnerabilidad para localizar algunas cosas como Conficker, por ejemplo ... ¿Tal vez Nmap? Otras ideas?

Preferiría un enfoque en el que pudiera detectar estas máquinas desde mi propia computadora, ya que nuestra red está hecha de pequeños enrutadores wifi domésticos y no tiene la capacidad de hacer nada sofisticado. Tampoco quiero (y no tengo tiempo) ir a todos y cada uno de los inquilinos en nuestro edificio para limpiar sus computadoras del malware manualmente. Solo quiero saber quién está infectado para que lo saquen de la red hasta que él limpie su máquina.

Una pregunta más: si la solución involucra escanear computadoras en la red, ¿cree que debería solicitar un permiso por escrito de nuestro propietario para que se me permita hacer la exploración?

Cualquier idea es bienvenida. Gracias.

edit: Independientemente de si se me permitirá hacer esto o no, me complacería ver algunas posibles soluciones a este problema.

    
pregunta pootzko 08.09.2011 - 18:48
fuente

2 respuestas

2

Usted dice que el ISP ha detectado grandes volúmenes de spam. Por lo tanto, la forma más fácil de encontrar el sistema ofensivo es monitorear la línea saliente para las conexiones al puerto 25. Si encuentra un host que realiza muchas de estas, probablemente haya encontrado la máquina infectada.

Para hacer esto, deberías rastrear justo antes o después del último enrutador. Necesitará la cooperación del propietario, me temo. Dependiendo del equipo que se encuentre frente a la red troncal de Internet, podría colocar una caja de Linux en el medio con dos interfaces de red, que reenvían y registran. También puedes encontrar otro malware intentando propagarse.

Sin embargo, ten cuidado, IANAL, quizás estés invadiendo la privacidad de los demás para que comiences a hurgar en su tráfico. Sin embargo, si lo mantiene en datos de flujo de red (src ip, dst ip, src port, dst port, time, bytes), debería estar bien. Y eso debería señalar el spammer.

    
respondido por el chris 08.09.2011 - 22:59
fuente
1

Como no tiene acceso al enlace ascendente, puede intentar un enfoque pasivo instalando un honeypot. Un honeypot no escanea activamente la red y generalmente se considera legal. Simplemente se ejecuta en segundo plano a la espera de ser atacado. Está dentro de la red, por lo que, si es atacado, obtendrá información detallada sobre el vector y la fuente del ataque.

    
respondido por el user49363 10.07.2014 - 14:46
fuente

Lea otras preguntas en las etiquetas