Tilslutningsudstyr: Show ip inspect sessions

Kommandoen Show ip inspect sessions i Værktøjskassen viser hvilke sessioner der er etableret i routeren nu og her. Hvis du har fået virus, orme eller trojanske heste, er det relativt nemt at se det her.

Typiske tegn på vira, orme, trojanske heste eller lignende

Når du er logget ind i Værktøjskassen, har du adgang til forskellige routerkommandoer. Kommandoerne er tilgængelige under menupunktet Driftsovervågning -> Tilslutningsudstyr.

Output fra Show ip inspect sessions ser nogenlunde således ud (her vises kun et udpluk - LAN adresser er X'et ud):

Session 8149FBF8 (XX.XX.XX.XX:3155)=>(80.209.131.44:5000) tcp SIS_OPEN
Session 8143BD68 (XX.XX.XX.XX:1208)=>(131.252.126.82:44444) tcp SIS_OPEN
Session 812ECCE0 (XX.XX.XX.XX:1218)=>(131.252.126.82:44444) tcp SIS_OPEN
Session 812EF970 (XX.XX.XX.XX:1126)=>(131.252.126.82:44444) tcp SIS_OPEN

Strukturen bag den enkelte linje i outputtet er:

Sessionsnummer (LAN-adresse:sourceport)=>(Internet-adresse:destinationsport) protokol sessionsstatus


I dette eksempel kan man se fire mistænkelige sessioner, hvor der er etableret tcp-sessioner fra LAN mod adresser på internettet - det mistænkelige er her at det er port-numre som 5000 og 44444 der anvendes. For det trænede øje er disse destinationsporte ikke normale. Man kan nemt undersøge hvad en port bruges til på Port Lookup Utility -siden. Et opslag på port 5000 viser, at porten bruges af adskillige trojanske heste. Det samme gælder for port 44444.

Nu er det så et spørgsmål om at notere sig LAN IP-adresserne på de relevante sessioner, og derefter gå ud til de pågældende maskiner og undersøge dem nærmere.

Hvilke porte skal man være ekstra opmærksomme på?

Alle portnumre som man ikke umiddelbart kender, skal man være på vagt overfor. Desuden skal man være på vagt overfor standard Windows-porte som 135, 445, da mange vira, orme og trojanske heste udnytter huller i Windows, som endnu ikke er patchet.