Bezpieczeństwo dzieci w internecie Cz. 5 - Weryfikacja połączeń za pomocą polecenia netstat

DNS pełna nazwa to Domain Name System. To rozproszony system polegający na w dużym skrócie tłumaczeniu nazw adresów WWW ze znanych nam wszystkim na adresy IP, znane w świecie maszyn. Przykładem, który ma zobrazować tą sytuację jest zwykły adres np. www.onet.pl w świcie maszyn ma adres 213.180.141.140. Za tłumaczenie tych nazw odpowiada właśnie serwer DNS. 

Jednak w świecie informatyki DNS przybiera różne postacie. Może to oznaczać serwer bazodanowy, tłumaczący nazwy na adresy, system tłumaczący nazwy WWW na adresy IP. Jednocześnie DNS w systemach operacyjnych Windows to jeden ze standardowych protokołów obejmujących TCP / IP, a klient DNS i serwer DNS wspólnie świadczą usługi rozpoznawania nazw komputerów na adresy IP na komputerach i użytkownikach.

W systemie Windows wbudowany jest właśnie taki DNS. Każde zapytanie jakie wysyłamy do internetu zostaje zapisane w pamięci systemu, dzięki czemu system operacyjny nie musi za każdym razem odpytywać serwerów zewnętrznych tylko własną pamięć. 

W chwili kiedy system nie może znaleźć informacji o żądanym adresie IP wysyła hierarchicznie do kolejnych serwerów uzyskując odpowiednią wartość. Oczywiście jest to bardzo uproszczony opis, który prezentuje ogólne działanie DNS. 

Lista odwiedzonych stron, a dokładniej zapytań znajduje się w pamięci komputera, wystarczy tylko odpowiednim poleceniem odczytać listę i wiemy jakie strony internetowe były otwarte. Poleceniem tym dla systemu windows jest polecenie netstat.

Po wpisaniu polecenia netstat ? uzyskujemy informację pomocy w zależności od wprowadzonego znacznika uzyskujemy odpowiednie informacje. 

NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-x] [-t] [interwał]

  • -a Wyświetla wszystkie połączenia i porty nasłuchiwania.
  • -b Wyświetla plik wykonywalny związany z tworzeniem każdego połączenia lub port nasłuchowy. W niektórych przypadkach dobrze znany host plików wykonywalnych wiele niezależnych komponentów, aw tych przypadkach sekwencja komponentów zaangażowanych w tworzenie połączenia lub port nasłuchiwania jest wyświetlany. W tym przypadku plik wykonywalny nazwa znajduje się w [] u dołu, u góry jest nazwany komponent, i tak dalej, aż do osiągnięcia TCP / IP. Zauważ, że ta opcja może być czasochłonne i zawiedzie, jeśli nie masz wystarczających środków uprawnienia.
  • -e Wyświetla statystyki Ethernet. Można to połączyć z -s opcja.
  • -f Wyświetla w pełni kwalifikowane nazwy domen (FQDN) dla obcych adresy.
  • -n Wyświetla adresy i numery portów w postaci numerycznej.
  • -o Wyświetla identyfikator procesu właściciela powiązanego z każdym połączeniem.
  • -p proto Pokazuje połączenia dla protokołu określonego przez proto; proto może być dowolnym z: TCP, UDP, TCPv6 lub UDPv6. Jeśli jest używany z opcją -s opcja wyświetlania statystyk według protokołu, proto może być dowolnym z: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP lub UDPv6. nie nasłuchujące porty TCP. Powiązane porty nie nasłuchujące mogą, ale nie muszą być powiązanym z aktywnym połączeniem.
  • -r Wyświetla tabelę routingu.
  • -s Wyświetla statystyki dla poszczególnych protokołów. Domyślnie statystyki to pokazano dla IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP i UDPv6; Opcja -p może być użyta do określenia podzbioru wartości domyślnej.
  • -t Wyświetla bieżący stan odciążenia połączenia.
  • -x Wyświetla połączenia NetworkDirect, detektory i udostępnione punkty końcowe.
  • -y Wyświetla szablon połączenia TCP dla wszystkich połączeń. Nie można łączyć z innymi opcjami. Interwał Wyświetla wybrane statystyki, wstrzymując interwał sekundy między każdym wyświetlaczem. Naciśnij CTRL + C, aby zatrzymać ponowne wyświetlanie.

Wystarczy wprowadzić polecenie netstat -n aby uzyskać spis przetłumaczonych adresów. 

Uzyskane adresy IP można zweryfikować między innymi na stronie https://mxtoolbox.com. Po wprowadzeniu adresu IP uzyskamy znaną nam nazwę WWW. Warto również zwrócić uwagę na to co znajduje się po ":". Jest to port po którym możemy zweryfikować, która z aplikacji odpytywała serwer DNS. Aby sprawdzić WWW należy szukać portów 80 i 443.

 Oczywiście weryfikacja tych adresów jest czasochłonna i na pewno nie ujdzie uwadze dziecka. Można to polecenie wywołać zdalnie z komputera rodzica na komputerze dziecka. Konfiguracja jest jednak dość złożona i pracochłonna. 

W tym celu należy pobrać pakiet PsExec v2.2. Następnie należy rozpakować plik za pomocą programu WinRAR. Następnie należy skopiować plik o nazwie psexe.exe do folderu C:\Windows\System32 na obydwu komputerach. 

Następnie uruchamiamy CMD i wprowadzamy polecenie psexec.exe \\ip_komputera cmd. To powoduje zdalne połączenie między komputerami, następnie jeżeli wywołamy polecenie netstat -n uzyskamy listę wywołanych adresów IP przechowywanych w pamięci DNS systemu operacyjnego Windows. 

psexec to program, uruchamianym w wierszu poleceń w systemie Windows. Jest częścią pakietu PSTOOLS. 

Zastosowanie: psexec [\\ komputer [, komputer2 [, ...] | @plik \]] [- użytkownik [-p psswd] [- ns] [- r nazwa usługi] [- h] [- l] [- s | -e] [- x] [- i [sesja]] [ -c plik wykonywalny [-f | -v]] [- w katalog] [- d] [- <priorytet>] [- an, n, ...] cmd [argumenty]

Opis dostępnych parametrów w programie psexec:

  • -za Oddzielne procesory, na których aplikacja może działać z przecinkami, gdzie 1 to procesor o najniższym numerze. Na przykład, aby uruchomić aplikację na CPU 2 i CPU 4, wpisz: „-a 2,4”
  • -do Skopiuj określony plik wykonywalny do systemu zdalnego w celu wykonania. W przypadku pominięcia tej opcji aplikacja musi znajdować się w ścieżce systemowej w systemie zdalnym.
  • -re Nie czekaj na zakończenie procesu (nieinteraktywny).
  • -e Nie ładuje profilu określonego konta.
  • -fa Skopiuj określony program, nawet jeśli plik już istnieje w systemie zdalnym.
  • -i Uruchom program, aby współdziałał z pulpitem określonej sesji w systemie zdalnym. Jeśli nie określono żadnej sesji, proces jest uruchamiany w sesji konsoli.
  • -h Jeśli systemem docelowym jest Vista lub wyższy, proces jest uruchamiany z podwyższonym tokenem konta, jeśli jest dostępny.
  • -l Uruchom proces jako ograniczony użytkownik (usuwa grupę Administratorzy i zezwala tylko na uprawnienia przypisane do grupy Użytkownicy). W systemie Windows Vista proces działa z niską integralnością.
  • -n Określa limit czasu w sekundach łączenia się ze zdalnymi komputerami.
  • -p Określa opcjonalne hasło dla nazwy użytkownika. Jeśli pominiesz to, zostaniesz poproszony o podanie ukrytego hasła.
  • -r Określa nazwę zdalnej usługi, która ma zostać utworzona lub z nią współdziałać.
  • -s Uruchom zdalny proces na koncie systemowym.
  • -u Określa opcjonalną nazwę użytkownika do logowania na komputerze zdalnym.
  • -v Skopiuj określony plik tylko wtedy, gdy ma on wyższy numer wersji lub jest nowszy niż ten w systemie zdalnym.
  • -w Ustaw katalog roboczy procesu (względem komputera zdalnego).
  • -x Wyświetl interfejs użytkownika na bezpiecznym pulpicie Winlogon (tylko system lokalny).
  • -priorytet - Określa -low, -belownormal, -abovenormal, -high lub -realtime, aby uruchomić proces z innym priorytetem. Użyj -background, aby uruchomić na niskim poziomie pamięci i priorytecie I / O w systemie Vista.
  • - komputer - Direct PsExec, aby uruchomić aplikację na komputerze zdalnym lub na określonych komputerach. Jeśli pominiesz nazwę komputera, PsExec uruchomi aplikację w systemie lokalnym, a jeśli podasz symbol wieloznaczny (\\ *), PsExec uruchomi polecenie na wszystkich komputerach w bieżącej domenie.
  • - @plik - PsExec wykona polecenie na każdym komputerze wymienionym w pliku.
  • - cmd - Nazwa aplikacji do wykonania.
  • -argumenty - Argumenty do przekazania (zauważ, że ścieżki do plików muszą być ścieżkami bezwzględnymi w systemie docelowym).
  • -accepteula - Ta flaga pomija wyświetlanie okna dialogowego licencji.

W celu uzyskania zdalnego dostępu do kompuetra dziecka należy wykonac jeszcze jedno działanie jakim jest wpis do rejestru systemu. W tym celu należy wpisać w URUCHOM polecenie regedit następnie przejść do opcji 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, gdzie dokonujemy wpisu zakładając plik o nowej wartości DWORD, nazwa nowego wpisu to LocalAccountTokenFilterPolicy, a ustawiona wartość powinna wynosić "1".

Dopiero teraz rodzic może uzyskać dostęp do komputera swojego dziecka. Ta czynność daje również możliwości uruchomienia innych poleceń i skryptów. 

Opinia:

Podsumowując, metoda ta jest jedną z najmniej efektywnych metod weryfikacji otwieranych przez dziecko stron internetowych. Jest to również jedna z najbardziej czasochłonnych czynności. Samo narzędzie przyda się bardziej informatykom lub osobom które fascynującym się tematyką IT. W związku z tym metodę tą nie polecam rodzicom do weryfikacji swoich dzieci. Poza tym metodę tą można bardzo łatwo oszukać. Wystarczy wprowadzić w CMD polecenie ipconfig /flushdns, które kasuje wszystkie wpisy. 

Poprzednie artykuły tej serii:

Bezpieczeństwo dzieci w internecie Cz. 1 - jakie są zagrożenia w inter...
Bezpieczeństwo dzieci w internecie Cz. 2 - Funkcja Microsoft Rodzina
Bezpieczeństwo dzieci w internecie Cz. 3 - Weryfikacja połączeń za pom...
Bezpieczeństwo dzieci w internecie Cz. 4 - Weryfikacja przeglądarek in...