@organizer776

Как можно слушать порт у работающей программы?

Как можно слушать порт у запущенной программы?
Ситуация такая, есть сервер, который смотрит в интернет (сайты организации), но, периодически, вижу попытки взлома по rdp и т.д. Хочу сделать слушатель портов, который станет, нечто, вроде прокладки посередине.

Существует такая программа как process explorer и она видит текущие подключения к определенному процессу, но как это работает ума не приложу.
Исходя из знаний java, то предполагаю, нечто, вроде, подключения к потокам, но могу ошибаться в реализации.

Зачем это нужно? Автоматизация защиты без установки стороннего ПО (это головная боль для организации).
  • Вопрос задан
  • 205 просмотров
Пригласить эксперта
Ответы на вопрос 5
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
Зачем все эти сложности, если можно просто установить и настроить fail2ban или систему обнаружения вторжений, если нужна тяжёлая артиллерия. Головная боль - это писать своё решение при наличии готовых и проверенных временем.
Ответ написан
@Drno
У Вас сайт организации - на Винсервер? который смотрит в инет? сочувствую тогда))
А вообще - открвается только нужный порт на вход, остальное закрывается. и пофиг, пусть ломятся
Обычно это делается на шлюзе...
Ответ написан
gbg
@gbg Куратор тега Windows
Любые ответы на любые вопросы
Вам придется навелосипедить WinPCAP, которая является NDIS-драйвером, встраиваемым в сетевой стек венды.

Альтернативно, вы можете попытаться заинжектить в процесс самопальную ws2_32.dll

И то и то требуют наличия обширного опыта системного программирования на C/C++ под форточку, а также чтения тонны страниц MSDN на английском языке.
Ответ написан
@rPman
предложения про WinPCAP, NDIS-драйвер, ws2_32.dll и т.п.
Ничего страшного. Сложности заставляют развиваться.
тебе дали дважды намек, что это направление решения - неадекватно сложно по сравнению с поставленной целью.

Правильное решение - поставить фаервол (адекватность тут должна подсказывать *nix* ОС или готовые железки с нужным функционалом) между интернетом и целевым сервером с приложением, этот фаервол и будет слушать подключения и принимать решение.

Любой вариант этого решения будет по стоимости и времени дешевле чем исследования в области 'как разобраться с тем что майкрософт наговнокодили наломали дров сетевой подсистеме и стандартах'

p.s. у майкрософта есть инструменты по логированию доступа по rdp, может начать с них?
Ответ написан
Комментировать
@pfg21
ex-турист
реквестируемый вид ПО - анализатор трафика.
один из основных вариантов под винду wireshark
в настроить фильтрацию по порту и записать поток пакетов на диск, потом не торопясь разобрать, выявить леватуру и найти условия их вырезания через фаервол.
надеюсь фаер в винде умеет фильтровать потоки по протоколам.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы