Bezpieczeństwo dzieci w internecie Cz. 5 - Weryfikacja połączeń za pomocą polecenia netstat
DNS pełna nazwa to Domain Name System. To rozproszony system polegający na w dużym skrócie tłumaczeniu nazw adresów WWW ze znanych nam wszystkim na adresy IP, znane w świecie maszyn. Przykładem, który ma zobrazować tą sytuację jest zwykły adres np. www.onet.pl w świcie maszyn ma adres 213.180.141.140. Za tłumaczenie tych nazw odpowiada właśnie serwer DNS.
Jednak w świecie informatyki DNS przybiera różne postacie. Może to oznaczać serwer bazodanowy, tłumaczący nazwy na adresy, system tłumaczący nazwy WWW na adresy IP. Jednocześnie DNS w systemach operacyjnych Windows to jeden ze standardowych protokołów obejmujących TCP / IP, a klient DNS i serwer DNS wspólnie świadczą usługi rozpoznawania nazw komputerów na adresy IP na komputerach i użytkownikach.
W systemie Windows wbudowany jest właśnie taki DNS. Każde zapytanie jakie wysyłamy do internetu zostaje zapisane w pamięci systemu, dzięki czemu system operacyjny nie musi za każdym razem odpytywać serwerów zewnętrznych tylko własną pamięć.
W chwili kiedy system nie może znaleźć informacji o żądanym adresie IP wysyła hierarchicznie do kolejnych serwerów uzyskując odpowiednią wartość. Oczywiście jest to bardzo uproszczony opis, który prezentuje ogólne działanie DNS.
Lista odwiedzonych stron, a dokładniej zapytań znajduje się w pamięci komputera, wystarczy tylko odpowiednim poleceniem odczytać listę i wiemy jakie strony internetowe były otwarte. Poleceniem tym dla systemu windows jest polecenie netstat.
Po wpisaniu polecenia netstat z ? uzyskujemy informację pomocy w zależności od wprowadzonego znacznika uzyskujemy odpowiednie informacje.
NETSTAT [‑a] [‑b] [‑e] [‑f] [‑n] [‑o] [‑p proto] [‑r] [‑s] [‑x] [‑t] [interwał]
- -a Wyświetla wszystkie połączenia i porty nasłuchiwania.
- -b Wyświetla plik wykonywalny związany z tworzeniem każdego połączenia lub port nasłuchowy. W niektórych przypadkach dobrze znany host plików wykonywalnych wiele niezależnych komponentów, aw tych przypadkach sekwencja komponentów zaangażowanych w tworzenie połączenia lub port nasłuchiwania jest wyświetlany. W tym przypadku plik wykonywalny nazwa znajduje się w [] u dołu, u góry jest nazwany komponent, i tak dalej, aż do osiągnięcia TCP / IP. Zauważ, że ta opcja może być czasochłonne i zawiedzie, jeśli nie masz wystarczających środków uprawnienia.
- -e Wyświetla statystyki Ethernet. Można to połączyć z -s opcja.
- -f Wyświetla w pełni kwalifikowane nazwy domen (FQDN) dla obcych adresy.
- -n Wyświetla adresy i numery portów w postaci numerycznej.
- -o Wyświetla identyfikator procesu właściciela powiązanego z każdym połączeniem.
- -p proto Pokazuje połączenia dla protokołu określonego przez proto; proto może być dowolnym z: TCP, UDP, TCPv6 lub UDPv6. Jeśli jest używany z opcją -s opcja wyświetlania statystyk według protokołu, proto może być dowolnym z: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP lub UDPv6. nie nasłuchujące porty TCP. Powiązane porty nie nasłuchujące mogą, ale nie muszą być powiązanym z aktywnym połączeniem.
- -r Wyświetla tabelę routingu.
- -s Wyświetla statystyki dla poszczególnych protokołów. Domyślnie statystyki to pokazano dla IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP i UDPv6; Opcja -p może być użyta do określenia podzbioru wartości domyślnej.
- -t Wyświetla bieżący stan odciążenia połączenia.
- -x Wyświetla połączenia NetworkDirect, detektory i udostępnione punkty końcowe.
- -y Wyświetla szablon połączenia TCP dla wszystkich połączeń. Nie można łączyć z innymi opcjami. Interwał Wyświetla wybrane statystyki, wstrzymując interwał sekundy między każdym wyświetlaczem. Naciśnij CTRL + C, aby zatrzymać ponowne wyświetlanie.
Wystarczy wprowadzić polecenie netstat -n aby uzyskać spis przetłumaczonych adresów.
Uzyskane adresy IP można zweryfikować między innymi na stronie https://mxtoolbox.com. Po wprowadzeniu adresu IP uzyskamy znaną nam nazwę WWW. Warto również zwrócić uwagę na to co znajduje się po ":". Jest to port po którym możemy zweryfikować, która z aplikacji odpytywała serwer DNS. Aby sprawdzić WWW należy szukać portów 80 i 443.
Oczywiście weryfikacja tych adresów jest czasochłonna i na pewno nie ujdzie uwadze dziecka. Można to polecenie wywołać zdalnie z komputera rodzica na komputerze dziecka. Konfiguracja jest jednak dość złożona i pracochłonna.
W tym celu należy pobrać pakiet PsExec v2.2. Następnie należy rozpakować plik za pomocą programu WinRAR. Następnie należy skopiować plik o nazwie psexe.exe do folderu C:\Windows\System32 na obydwu komputerach.
Następnie uruchamiamy CMD i wprowadzamy polecenie psexec.exe \\ip_komputera cmd. To powoduje zdalne połączenie między komputerami, następnie jeżeli wywołamy polecenie netstat -n uzyskamy listę wywołanych adresów IP przechowywanych w pamięci DNS systemu operacyjnego Windows.
psexec to program, uruchamianym w wierszu poleceń w systemie Windows. Jest częścią pakietu PSTOOLS.
Zastosowanie: psexec [\\ komputer [, komputer2 [, ...] | @plik \]] [- użytkownik [‑p psswd] [- ns] [- r nazwa usługi] [- h] [- l] [- s | -e] [- x] [- i [sesja]] [ -c plik wykonywalny [‑f | -v]] [- w katalog] [- d] [- <priorytet>] [- an, n, ...] cmd [argumenty]
Opis dostępnych parametrów w programie psexec:
- -za Oddzielne procesory, na których aplikacja może działać z przecinkami, gdzie 1 to procesor o najniższym numerze. Na przykład, aby uruchomić aplikację na CPU 2 i CPU 4, wpisz: „-a 2,4”
- -do Skopiuj określony plik wykonywalny do systemu zdalnego w celu wykonania. W przypadku pominięcia tej opcji aplikacja musi znajdować się w ścieżce systemowej w systemie zdalnym.
- -re Nie czekaj na zakończenie procesu (nieinteraktywny).
- -e Nie ładuje profilu określonego konta.
- -fa Skopiuj określony program, nawet jeśli plik już istnieje w systemie zdalnym.
- -i Uruchom program, aby współdziałał z pulpitem określonej sesji w systemie zdalnym. Jeśli nie określono żadnej sesji, proces jest uruchamiany w sesji konsoli.
- -h Jeśli systemem docelowym jest Vista lub wyższy, proces jest uruchamiany z podwyższonym tokenem konta, jeśli jest dostępny.
- -l Uruchom proces jako ograniczony użytkownik (usuwa grupę Administratorzy i zezwala tylko na uprawnienia przypisane do grupy Użytkownicy). W systemie Windows Vista proces działa z niską integralnością.
- -n Określa limit czasu w sekundach łączenia się ze zdalnymi komputerami.
- -p Określa opcjonalne hasło dla nazwy użytkownika. Jeśli pominiesz to, zostaniesz poproszony o podanie ukrytego hasła.
- -r Określa nazwę zdalnej usługi, która ma zostać utworzona lub z nią współdziałać.
- -s Uruchom zdalny proces na koncie systemowym.
- -u Określa opcjonalną nazwę użytkownika do logowania na komputerze zdalnym.
- -v Skopiuj określony plik tylko wtedy, gdy ma on wyższy numer wersji lub jest nowszy niż ten w systemie zdalnym.
- -w Ustaw katalog roboczy procesu (względem komputera zdalnego).
- -x Wyświetl interfejs użytkownika na bezpiecznym pulpicie Winlogon (tylko system lokalny).
- -priorytet - Określa -low, -belownormal, -abovenormal, -high lub -realtime, aby uruchomić proces z innym priorytetem. Użyj -background, aby uruchomić na niskim poziomie pamięci i priorytecie I / O w systemie Vista.
- - komputer - Direct PsExec, aby uruchomić aplikację na komputerze zdalnym lub na określonych komputerach. Jeśli pominiesz nazwę komputera, PsExec uruchomi aplikację w systemie lokalnym, a jeśli podasz symbol wieloznaczny (\\ *), PsExec uruchomi polecenie na wszystkich komputerach w bieżącej domenie.
- - @plik - PsExec wykona polecenie na każdym komputerze wymienionym w pliku.
- - cmd - Nazwa aplikacji do wykonania.
- -argumenty - Argumenty do przekazania (zauważ, że ścieżki do plików muszą być ścieżkami bezwzględnymi w systemie docelowym).
- -accepteula - Ta flaga pomija wyświetlanie okna dialogowego licencji.
W celu uzyskania zdalnego dostępu do kompuetra dziecka należy wykonac jeszcze jedno działanie jakim jest wpis do rejestru systemu. W tym celu należy wpisać w URUCHOM polecenie regedit następnie przejść do opcji
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, gdzie dokonujemy wpisu zakładając plik o nowej wartości DWORD, nazwa nowego wpisu to LocalAccountTokenFilterPolicy, a ustawiona wartość powinna wynosić "1".
Dopiero teraz rodzic może uzyskać dostęp do komputera swojego dziecka. Ta czynność daje również możliwości uruchomienia innych poleceń i skryptów.
Opinia:
Podsumowując, metoda ta jest jedną z najmniej efektywnych metod weryfikacji otwieranych przez dziecko stron internetowych. Jest to również jedna z najbardziej czasochłonnych czynności. Samo narzędzie przyda się bardziej informatykom lub osobom które fascynującym się tematyką IT. W związku z tym metodę tą nie polecam rodzicom do weryfikacji swoich dzieci. Poza tym metodę tą można bardzo łatwo oszukać. Wystarczy wprowadzić w CMD polecenie ipconfig /flushdns, które kasuje wszystkie wpisy.
Poprzednie artykuły tej serii:
Bezpieczeństwo dzieci w internecie Cz. 1 - jakie są zagrożenia w inter... Bezpieczeństwo dzieci w internecie Cz. 2 - Funkcja Microsoft Rodzina Bezpieczeństwo dzieci w internecie Cz. 3 - Weryfikacja połączeń za pom... Bezpieczeństwo dzieci w internecie Cz. 4 - Weryfikacja przeglądarek in...