Ищем трафик, который трудно увидеть

Discussion in 'Безопасность и Анонимность' started by Lolinas, 27 Jul 2022.

  1. Lolinas

    Lolinas Member

    Joined:
    20 Oct 2019
    Messages:
    126
    Likes Received:
    54
    Reputations:
    19
    Мы можем с легкостью увидеть весь трафик браузера, игры или любой другой программы. А с помощью стороннего файервола можно увидеть весь трафик Windows. Но все же не весь, так как файервол это тоже программа, которая загружается уже после загрузки системы. А как насчет трафика в момент загрузки компьютера? Попробуем глянуть на такой трафик, ну не на сам трафик, разумеется на запросы, так как трафик будет шифрованный. Единственное устройство, которое видит весь наш трафик — это роутер. Значит нужно стать роутером. Нам нужна виртуальная машина, на которую установим dhcp и dns службы. Затем с помощью yogadns сможем просматривать все запросы на разрешения имен, а с помощью агнитум файервола можно просмотреть низкоуровневый трафик, то есть тот, который обычно маршрутизирует наш роутер. Создадим тестовую виртуальную машину windows 8 на hyper-v и подключим сеть

    [​IMG]

    Настройки dhcp подхватились, теперь протестируем как работает yogadns вместе с dns сервером

    [​IMG]

    Работает отлично, значит можно перезагружать виртуальную машину и смотреть запросы. При загрузке оказались вот такие данные

    [​IMG]

    Трафик пошел уже при логине системы, то есть когда загрузился драйвер сетевушки. Теперь что касаемо файервола, ведь там также может быть трафик

    [​IMG]

    Как оказалось, ничего интересного. Теперь сделаем тоже самое, но с vmware и windows 8.1

    [​IMG]

    Тоже самое что и с hyper-v, трафик начинает идти только при загрузке драйвера сетевой карты ну и подхвата настроек dhcp естественно, а низкоуровневого трафика почему-то не было. Теперь протестируем реальный компьютер примерно 2010 года выпуска на Интеле

    [​IMG]

    На скриншоте не стоит обращать внимания на watson telemetry, это трафик самой виртуальной машины, на которой установлен dhcp и dns. Желтым цветом выделен трафик, который появился прямо при загрузке системы (windows 10 1607), а зеленым при окне логина. На машине немного посвежее 2017 года, запросы оказались похожи

    [​IMG]

    Красным выделено трафик при загрузке. Интересно то, что iasbroker выступает вторым, в то время на предыдущей машине он выступал первым. Тесты проводились несколько раз. Зайдем в БИОС и попробуем его обновить

    [​IMG]

    Настройки dhcp подхватились, но почему указан dns 8.8.8.8 а не тестовый 192.168.10.209. Видимо в БИОСе свои настройки. Теперь посмотрим на сервер HP. Так как смысла нету смотреть на трафик ОС Windows, но хочется посмотреть на запросы от внутренней операционки. При подхвате настроек dhcp внутренняя операционка почти была спокойна

    [​IMG]

    Сервер в выключенном состоянии пингавал свой основной шлюз, и больше ничего, на протяжении часа. Немного поискав в настройках, оказалось, что эта такая опция - пинговать шлюз

    [​IMG]

    Выводы: Как оказалось нету никакого постороннего и потустороннего трафика от выключенного либо загружающегося ПК. Ах да, делал тесты на AMD, но не показал, так как там нечего даже показывать. Да, я думал про wake-on-lan, но даже в том случае ip-адрес не присваивается, сетевая карта тупо ждет специальный пакет на свой mac-адрес.
    vk.com/id58924119​