How to Remove Trovi / Conduit / Search Protect Browser Hijack Malware

If your computer has been hijacked with an obnoxious malware that won’t let you change your home page, there’s a strong chance you’ve been infected with the Trovi Search Protect malware, which used to be known as Conduit. Here’s how to remove it.

How do you know this is malware? Instead of installing like it should, as a Google Chrome Extension, you’ll probably see that your extensions list doesn’t mention Trovi or Conduit at all. Instead, they are hijacking the browser process using Windows API techniques that no legitimate application should be using. For more details on that, you can read our series on using Process Explorer to troubleshoot Windows.

How Did You Get Infected?

Usually at some point you made the huge mistake of trusting a site like Download.com, which bundled it into an installer for a completely different application. This is why you should be really careful when downloading freeware on the internet.

They get around the legality issue with their long terms of service that nobody reads, and by making sure there’s actually a way to uninstall the thing. But as far as we’re concerned, anything that installs in a sneaky fashion and hijacks your other running processes is malware.

Removing the Trovi Search Protect Malware

This is really sad to say, but it’s actually important to use the Search Protect panel to turn off the bad settings first before uninstalling it. You can find the Search Protect icon in the system tray, and then double-click on it to open up the panel.

In here, change your Home Page back to Google or whatever you want.

Now change your New Tab page back to Browser Default.

Change your Default Search back to “Browser default search engine”.

And then uncheck the “Enhance my search experience”, which is a lie, because it doesn’t enhance it at all.

Now head to Control Panel, find the Uninstall Programs section, and then find Search Protect and click the Uninstall button. While you are in here, you might want to uninstall anything else that says anything similar to “Search Protect”. If you see SaveSense, remove that too.

At this point your browser should be back to normal… but we aren’t done quite yet. There are still a lot of traces of this thing that we need to clean up.

Use the Google Chrome  Software Removal Tool

If you are using Google Chrome, you are in luck because Google provides their own Software Removal Tool to make sure that all of these things are removed. Just head to the Google SRT page, download and run it, and it will automatically detect and remove everything.

Once you start up your browser again, it will ask if you want to reset your browser settings. This will reset everything to defaults, including removing all troublesome extensions. It’s probably a good idea, although note that you’ll have to login to all of your sites again.

Download the Software Removal Tool from google.com

Clean Up IE Settings

If you are using Internet Explorer, you should go to the Tools menu and find the Manage Add-ons item. In here, you can click on Search Providers and change your search back to what it should be. If you see Trovi in the list, click on it and then click Remove.

Use Malwarebytes to Scan Your PC

All of the above techniques will get your computer back to normal — at least as far as Trovi is concerned. But there’s a very strong chance that you’ve got other things hijacking your browser and spying on you.

The best bet for cleaning up spyware and malware is Malwarebytes. You might ask yourself why you wouldn’t just use your regular antivirus product, but the fact is that antivirus just doesn’t detect spyware very often. It’s only useful for viruses that try to destroy your PC, which are few and far between at this point. Almost all of the malware out there is trying to spy on you, redirect your browsing, and insert more ads into pages that you’re viewing. It’s all about the money.

So the only really good product on the market that will find and remove spyware, adware, and other malware is Malwarebytes. Luckily they have a free version that will let you clean up and remove everything — if you want to pay for the full version that has active protection to prevent these things from happening, that’s fine too.

Once you’ve downloaded and installed it, you’ll be prompted to run a scan, so click that big green Scan Now button.

After it completes scanning, it’ll find a big huge list of things to remove. Click the Apply Actions button to actually remove all the malware.

You’ll want to reboot your computer to make sure that everything is fully cleaned up. If anything seems to come back, run Malwarebytes again, remove anything found, and then reboot again.

9 bài thực hành để trở thành quản trị mạng chuyên nghiệp (Phần cuối)

(PCWorldVN) Sau 3 bài thực hành cuối cùng này, đảm bảo bạn đã có thể quản lý một hệ thống mạng "vừa đủ xài" cho doanh nghiệp cỡ nhỏ, hoặc chí ít là tại gia đình hay văn phòng công ty.

• 9 bài thực hành để trở thành quản trị mạng chuyên nghiệp
• 9 bài thực hành để trở thành quản trị mạng chuyên nghiệp (Phần 2)

Qua 6 bài thực hành ở phần 1 và phần 2 của bài viết, bạn đã gần như hiểu rõ cách thiết lập và vận hành một hệ thống mạng nội bộ. Với phần cuối cùng này, hãy cùng PC World Vietnam nghiên cứu làm thế nào để tăng cường khả năng bảo mật cho toàn bộ hệ thống với những công cụ, tiện ích sẵn có.

Ngoài ra, bài viết sẽ hướng dẫn bạn các bước và nguyên tắc cơ bản để triển khai Windows Server cho mạng tại nhà hay doanh nghiệp.

Phần 3 - Trình độ cao cấp

Bài thực hành 7: Tự tấn công hệ thống

Bạn có thể đọc nhiều về bảo mật mạng, nhưng cách tốt nhất là học cách đánh giá mức độ bảo mật của hệ thống mạng bằng những thử nghiệm tấn công chính hệ thống mạng của mình.

Dưới đây là vài cách tấn công mà bạn có thể thử:

- Bẻ khoá Wi-Fi. Mã hoá WEP là cách dễ xâm nhập nhất bằng Aircrack-ng. Bẻ khoá Wi-Fi Protected Setup (WPS) với số PIN bằng Reaver-WPS cũng có thể truy cập được vào một router không dây.

- Tấn công tài khoản trực tuyến thông qua Wi-Fi sử dụng tiện ích bổ sung trên Firefox là Firesheep hoặc ứng dụng Android DroidSheep.

- Bắt gói dữ liệu và bẻ khoá thông tin đăng nhập trên mạng 802.11X sử dụng FreeRadius-WPE.

Khi học, bạn sẽ tìm thấy được những hướng dẫn cách làm thế nào của từng công cụ. Một công cụ phổ biến khác tích hợp hàng trăm công cụ có sẵn là đĩa CD BackTrack, nhưng hiện dự án này đã ngưng hoạt động.

Tuy vậy, Kali Linux là công cụ tương tự, hiện đang rất nổi, có thể cài thẳng vào máy tính hoặc máy ảo, hoặc chạy trên USB, CD.

Nếu muốn tìm cách test hệ thống mạng của mình, bạn có thể tham khảo thêm tại Ethical Hacker.

Bài thực hành 8: Thiết lập máy chủ bảo mật RADIUS

Ở nhà, bạn thường mã hóa router không dây của mình bằng chế độ Personal hoặc Pre-shared Key (PSK) cho bảo mật WPA hoặc WPA2 để giúp mạng không dây không bị kẻ khác dòm ngó. Chế độ Personal là cách đơn giản nhất để mã hoá Wi-Fi: thiết lập một mật khẩu trên router và đơn giản là nhập mật khẩu này vào thiết bị và máy tính kết nối.

Tuy nhiên, với doanh nghiệp, chế độ Enterprise của WPA hoặc WPA2 được các chuyên gia bảo mật khuyến khích dùng hơn, vì kết hợp với xác thực 802.11x.

Thay vì dùng mật khẩu Wi-Fi, mỗi người dùng sẽ nhận được một thông tin đăng nhập riêng; mã hóa này bảo vệ chống lại việc trộm dữ liệu giữa người dùng với nhau. Hơn nữa, bạn có thể thay đổi hoặc xóa một tài khoản nào đó để bảo vệ mạng khi một nhân viên không làm việc nữa hoặc thiết bị nào đó bị thất lạc hoặc mất cắp.

Để sử dụng chế độ cho doanh nghiệp, bạn phải có một máy chủ RADIUS (Remote Authentication Dial-In User Service) riêng để xử lý đăng nhập 802.11x của người dùng. Là nhà quản trị hệ thống, bạn sẽ phải cấu hình và chỉnh cho máy khách với xác thực 802.11x và giúp duy trì máy chủ RADIUS. Để thực tập, hãy xem thiết lập máy chủ cho bạn ở nhà và sử dụng bảo mật Wi-Fi mức doanh nghiệp ở nhà.

Nếu bạn đang chạy hệ thống mạng nền Windows, Network Policy Server (NPS) hoặc Internet Authentication Service (IAS) có thể lấy làm máy chủ RADIUS. Còn không, bạn có vài chọn lựa miễn phí. Nếu bạn rành Linux, hãy xem qua phần mềm nguồn mở FreeRADIUS. Vài tùy chọn dễ dùng hơn, có giao diện GUI và miễn phí như TekRADIUS, hoặc công cụ dùng thử 30 ngày ClearBox.

Khi đã cài xong máy chủ RADIUS, bạn tạo các tài khoản người dùng và nhập vào mật mã (shared secrets) cho AP. Sau đó, cấu hình router không dây hoặc AP với WPA/WPA2-Enterprise: gõ vào địa chỉ IP và cổng của máy chủ RADIUS, rồi đến shared secret mà bạn đã đặt trên máy chủ RADIUS. Sau đó, bạn có thể kết nối thiết bị bằng cách gõ vào thông tin đăng nhập mà bạn quy định trên máy chủ RADIUS.

Bài thực hành 9: Cài đặt Windows Server và thiết lập tên miền

Nhà quản trị cũng cần quản lý các hệ thống mạng nền Windows chạy với Windows Server. Để có thêm kinh nghiệm, bạn thử chạy một bản Windows Server tại nhà.

Mặc dù mua một phiên bản hệ điều hành máy chủ không hề rẻ nhưng bạn có vài chọn lựa miễn phí. Microsoft cho bạn dùng thử miễn phí 180 ngày bản ISO tải về để cài trên một máy chủ vật lý, ổ cứng ảo (VHD) cho máy chủ ảo và truy cập được đến một máy ảo chưa cấu hình trên đám mây Azure. Hơn nữa, Microsoft cũng đưa ra Virtual Labs, có những hướng dẫn cho bạn trong môi trường ảo hóa, bạn có thể thử qua.

Một khi bạn truy cập được vào một máy chủ, hãy khám phá nó và thực tập. Có lẽ bạn nên thử cấu hình Active Directory và thử với Group Policies, thiết lập Exchange và cấu hình một máy khách Outlook, hoặc thiết lập NPS cho xác thực 802.11x.

Bước tiếp theo: Học, học nữa, học mãi

Nếu thấy những bài thực hành trên thực sự hữu ích và cần có thêm được nhiều kinh nghiệm quản trị thì vẫn có nhiều khóa học trực tuyến mà bạn có thể tham gia. Hãy tìm và chọn khóa đào tạo theo những chứng chỉ quản trị cụ thể.

9 bài thực hành để trở thành quản trị mạng chuyên nghiệp (Phần 2)

(PCWorldVN) Ba bài thực hành ở cấp độ trung cấp đòi hỏi bạn phải "võ luyện" nhiều lần, kết hợp với cọ xát thực tế với thiết bị, mạng giả lập và mạng thực tế tại gia đình, doanh nghiệp.

• 9 bài thực hành để trở thành quản trị mạng chuyên nghiệp (Phần 1)

Sau khi thuần thục mọi kỹ năng được đề cập trong 3 bài thực hành cấp độ cơ bản, bạn hãy chuẩn bị sẵn sàng bước vào giai đoạn "khó nhai" hơn với nhiều thao tác đòi hỏi kiến thức nền tảng tốt.

Phần 2 - Trình độ trung cấp

Bài thực hành 4: Cài DD-WRT trên router không dây

Để "vọc" nhiều hơn mạng không dây, bạn có thể cài firmware nguồn mở cho các router không dây DD-WRT. Firmware này có nhiều tính năng tiên tiến chỉ có cho cấp doanh nghiệp, và có thể tùy biến rất tốt. Nhưng trước khi tải và cập nhật firmware, bạn cần kiểm tra trên danh sách router tương thích với firmware này.

Ví dụ, nó hỗ trợ mạng LAN ảo và nhiều SSID nên bạn cót thể chia một mạng ra thành nhiều mạng ảo. Nó cũng hỗ trợ một máy khách và máy chủ VPN để truy cập từ xa, hoặc thậm chí kết nối trực tiếp site-to-site. Hơn nữa, nó cho bạn tùy biến tường lửa, chạy script khởi chạy và tắt, hỗ trợ nhiều giải pháp hotspot khác nhau.

DD-WRT có nhiều tính năng mới tiên tiến cho bạn "vọc".

Bài thực hành 5: Phân tích mạng và luồng dữ liệu trên mạng

Là nhà quản trị hệ thống, bạn sẽ cần phải xử lý những vấn đề liên quan đến việc theo dõi các gói dữ liệu đang truyền trên mạng. Mặc dù các công cụ phân tích giao thức mạng có thể tốn rất nhiều tiền của, Wireshark là một chọn lựa miễn phí, nguồn mở, làm việc trên mọi hệ điều hành. Nó có nhiều tính năng và hỗ trợ theo dõi thời gian thực và cả phân tích offline cho hàng trăm giao thức mạng khác nhau, giải mã cho nhiều loại mã hóa và có các bộ lọc mạnh, có khả năng đọc/ghi thông qua nhiều định dạng tập tin (file) bắt được trên mạng.

Wireshark bắt các gói packet trên mạng.

Một khi bạn cài xong Wireshark, hãy thử bắt gói dữ liệu và xem nó có gì trong đó. Nói cách khác, bạn hãy dạo lòng vòng trên web hoặc định vị những chia sẻ trên mạng để xem luồng dữ liệu trên mạng luân chuyển như thế nào. Hãy nhớ là bạn có thể ngừng quá trình bắt gói dữ liệu để theo dõi kỹ hơn một điểm nào đó. Mặc dù Wireshark có thể bắt mọi luồng dữ liệu luân chuyển qua mạng, có thể bạn chỉ thấy được luồng dữ liệu vào/ra của một máy khách mà thôi nếu chế độ bắt packet "hỗn hợp" không được hệ điều hành mà bạn đang dùng hoặc card mạng (adapter mạng) của bạn hỗ trợ. Thông tin chi tiết, bạn có thể tham khảo tại trang web của Wireshark.

Lưu ý: thậm chí khi cách bắt gói packet thường chạy ở chế độ chạy thụ động, nghĩa là không can thiệp hay gây nhiễu mạng nhưng vài người xem việc theo dõi kiểu này là vi phạm chính sách riêng tư và cá nhân. Vậy nên bạn cần lưu ý là chỉ nên áp dụng cho mạng cá nhân tại nhà, hoặc yêu cầu quyền của nhà quản trị hệ thống hoặc CTO công ty trước khi thực hiện. 

Ngoài ra, còn vài công cụ phân tích mạng miễn phí khác mà có thể bạn muốn thử qua. Ví dụ EffeTech HTTP Sniffer có thể tập hợp các gói HTTP và hiển thị chúng trên một trang web để có thể trình bày rõ ràng bằng đồ thị cho bạn theo dõi dễ hơn, thay vì phải nhìn vào cả đống packet dữ liệu thô. Hoặc như Password Sniffer chỉ "nghe" mật khẩu trên mạng và liệt kê chúng ra, cho ta thấy được rằng mật khẩu bằng chữ số là rất không an toàn. Và để phân tích dữ liệu di động thông qua điện thoại hay máy tính bảng nền Android, có những công cụ miễn phí như Shark for Root.

Bài thực hành 6: Thử với bộ giả lập mạng

Mặc dù khó có thể sử dụng trực tiếp mạng doanh nghiệp để thực tập thì chúng ta có thêm cách khác, đó là sử dụng các bộ giả lập để ảo hóa việc thiết lập và cấu hình mạng. Chúng là những công cụ vô giá để chuẩn bị cho những kỳ thi CNTT, trong đó có các chứng chỉ của Cisco và Juniper. Một khi bạn tạo được một hệ thống mạng ảo với các thành phần và máy khách đầy đủ, bạn có thể cấu hình và quản trị chúng bằng những thiết lập và lệnh giả lập. Thậm chí bạn có thể chạy các công cụ phân tích mạng như Wireshark với vài bộ giả lập để xem luồng dữ liệu mạng đi đâu về đâu.

Dưới đây là vài bộ giả lập bạn nên xem qua:

- GNS3 Graphical Network Simulator là chọn lựa miễn phí, nguồn mở. Nó yêu cầu bạn chạy hệ điều hành tương ứng, như Cisco IOS hoặc Junos OS của Juniper, và bạn cần đăng ký.

GNS3 Graphical Network Simulator hỗ trợ Cisco IOS/IPS/PIX/ASA và Juniper JunOS.

- Netkit là một chọn lựa miễn phí, nguồn mở khác. Nó không đòi hỏi những chức năng chuyên biệt gắn với nhà sản xuất nào và nó khá hạn chế về thành phần mạng. Đáng mừng là Netkit không có những đòi hỏi khắt khe về hệ điều hành như GNS3.

- Boson NetSim Network Simulator là bộ giả lập tính phí, giá 99 USD; mục đích chính của nó là cho bạn học về IOS của Cisco. Nó có bản demo miễn phí nhưng chức năng rất hạn chế.

Ngoài ra, cũng có một số trang web như SharonTools và Open Network Laboratory cho bạn truy cập từ xa đến các thành phần mạng và giả lập nền web để bạn thực hành các lệnh. Bạn cũng nên thử qua các bộ giả lập miễn phí của Cisco.

9 bài thực hành để trở thành quản trị mạng chuyên nghiệp

(PCWorldVN) Với nghề quản trị mạng, kinh nghiệm là trên hết, kế đến mới là bằng cấp. PCW giới thiệu đến bạn 9 bài thực hành được thiết kế cho 3 cấp độ, từ cơ bản cho đến nâng cao.

Về cơ bản, các chứng chỉ huấn luyện CNTT như Network+ hay CCNA chính là tấm vé thông hành để bạn bắt đầu chuỗi ngày tìm kiếm một chân quản trị mạng, nhưng kinh nghiệm mới là tất cả.

Khi đối mặt với vấn đề nào đó, nếu chưa có kinh nghiệm thì hẳn là bạn khó lòng lọt vào "mắt xanh" của nhà tuyển dụng, nhất là trong những năm đầu bước vào ngành quản trị hệ thống.

Câu hỏi đặt ra ở đây chính là bạn có từng phải cấu hình hoặc vọc phá một hệ thống mạng nào đó chưa? Thậm chí, nếu từng làm nhà quản trị hay kỹ thuật viên mạng thì cũng khó lòng nào mà bạn có thể chạm hết được đến mọi khía cạnh trong lĩnh vực này.

Loạt 9 bài thực hành được phân bổ cho 3 cấp độ cơ bản, trung cấp và cao cấp được đề cập bên dưới sẽ hướng đến các chủ đề mạng khác nhau, từ cơ bản đến nâng cao.

Vài bài thực hành chỉ mất vài phút là xong, nhưng có một số bài sẽ khiến bạn mất hết thời gian của ngày nghỉ cuối tuần. Có thể bạn cũng cần đầu tư một chút về trang thiết bị phần cứng, mà cụ thể là thiết bị mạng nhưng vẫn có những cách không cần đến chúng.

Phần 1 - Trình độ cơ bản

Bài thực hành 1: Cấu hình TCP/IP

Một trong những nhiệm vụ cơ bản nhất của nhà quản trị mạng là cấu hình thiết lập TCP/IP. Nếu một mạng không sử dụng giao thức cấp phát động DHCP (Dynamic Host Configuration Protocol), nghĩa là tự động quản lý địa chỉ IP khi máy khách kết nối thì bạn phải tự thiết lập IP tĩnh và địa chỉ DNS cho mỗi máy khách. Có thể hệ thống yêu cầu bạn đặt thông tin IP tĩnh khi bắt đầu bước thiết lập và cấu hình router hoặc các thành phần khác trên mạng.

Để đặt IP tĩnh, bạn phải biết địa chỉ IP của router và dải địa chỉ IP để bạn có thể đặt cho máy khách. Bạn có thể tìm được dữ kiện này trong Settings của máy tính nào kết nối thành công vào mạng.

Bạn sẽ cần đến địa chỉ IP, địa chỉ Subnet Mask, địa chỉ IP của router (cũng như Default Gateway) và địa chỉ máy chủ DNS (Domain Name System).

Cửa sổ Network Connection Details cho bạn biết được thông tin về địa chỉ IP,
Subnet Mask, Default Gateway và máy chủ DNS.

- Trong Windows: ở Network Connections qua Control Panel, hoặc Network and Sharing Center. Tiếp theo, mở kết nối đang hoạt động và nhấn vào nút Details.

- Trong Mac OS X: Trong System Preferences, nhấn vào biểu tượng Network, sau đó chọn kết nối đang hoạt động, như AirPort (wireless) hay Ethernet (wired). Với kết nối có dây, bạn sẽ thấy thông tin ngay trên màn hình đầu tiên; còn với kết nối không dây, nhấn thêm vào nút Advanced và tìm dưới tab TCP/IP và DNS.

Bạn hãy viết những con số này vào giấy hoặc copy chúng vào một tập tin văn bản nào đó, rồi đóng cửa sổ lại.

Để xem dải địa chỉ IP cho mạng, bạn có thể nhập địa chỉ IP và địa chỉ Subnet Mask vào một ứng dụng tính subnet tên là Subnet Calculator. Ví dụ, nhập vào IP 192.168.1.1 và Subnet Mask 255.255.255.0 sẽ cho bạn kết quả dải địa chỉ từ 192.168.1.1 đến 192.168.1.254.

Subnet Calculator cho bạn biết IP nào là hợp lệ.

Đến đây, bạn đã biết được dải địa chỉ IP rồi, nhưng cần nhớ là mỗi thiết bị phải có một địa chỉ IP duy nhất. Cách tốt nhất để kiểm tra địa chỉ IP là đăng nhập vào router, nhưng bạn cũng có thể đoán được hoặc đơn giản là chọn một địa chỉ ngẫu nhiên nào đó trong dải. Nếu địa chỉ đó đã có thiết bị nào đó sử dụng thì Windows hoặc OS X sẽ cảnh báo là có xung đột về địa chỉ IP và bạn có thể chọn một địa chỉ khác. Một khi thiết lập thành công địa chỉ IP thì bạn ghi địa chỉ đó xuống hoặc lưu lại trong file văn bản. Đây là cách tốt nhất để ghi nhận lại mọi địa chỉ IP tĩnh cùng với số seri của máy tính sử dụng địa chỉ IP đó.

Bây giờ, chúng ta cùng thiết lập một địa chỉ IP tĩnh:

- Trong Windows: mở cửa sổ Network Connection Status, nhấn vào nút Properties và mở thiết lập TCP/IPv4 (Internet Protocol Version 4). Chọn "Use the following IP address" và gõ vào thiết lập: một địa chỉ IP phải nằm trong dải IP cho phép, cộng với Subnet Mask, Default Gateway và máy chủ DNS trong cửa sổ Network Connection Details.

- Trong Mac OS X: mở cửa sổ Network và nhấn vào nút Advanced. Trong tab TCP/IP, nhấn vào nút sổ xuống kế bên Configure IPv4, chọn Manually và gõ vào địa chỉ IP hợp lệ trong dải, cộng với Subnet Mask và địa chỉ router mà bạn đã copy trước đó. Sang tab DNS và gõ vào địa chỉ máy chủ DNS.

Bạn gõ vào thiết lập IP thủ công.

Nhấn OK để hoàn tất.

Bài thực hành 2: Phân tích Wi-Fi

Là quản trị mạng, bạn sẽ muốn thiết lập, tinh chỉnh và duy trì mạng không dây trên mạng. Một trong những công cụ cơ bản nhất mà bạn cần có là một công cụ phân tích Wi-Fi (Wi-Fi stumbler). Những công cụ này có thể quét sóng và liệt kê những thông tin cơ bản về các mạng không dây, gồm router và Access Point (AP) gần đó, trong đó có mã mạng SSID (service set identifier), còn gọi là tên mạng không dây; địa chỉ MAC của router/AP; kênh; mức tín hiệu; và trạng thái bảo mật.

Bạn có thể sử dụng một công cụ dò Wi-Fi để kiểm tra sóng mạng tại nhà. Ví dụ bạn có thể kiểm tra hàng xóm đang dùng Wi-Fi trên kênh nào để bạn có thể chuyển sang kênh khác cho giảm nhiễu. Bạn cũng cần đảm bảo chế độ bảo mật của router ở thấp nhất là WPA hoặc WPA2.

NetSurveyor cho bạn biết chi tiết về các mạng Wi-Fi xung quanh bằng chữ cũng như bằng biểu đồ.

Windows có công cụ Vistumbler và NetSurveyor; Mac OS X có KisMac; hay Kismet cho cả hai hệ điều hành trên, cộng cả Linux. Cả 4 công cụ trên đều miễn phí, cho phép bạn xem thông tin dạng văn bản hoặc dạng biểu đồ về kênh và mức tín hiệu sóng Wi-Fi.

Còn nếu bạn sử dụng điện thoại thông minh hay máy tính bảng nền Android, bạn có thể sử dụng Wifi Analyzer hay Meraki WiFi Stumbler, cả hai đều miễn phí. 

WiFi Analyzer trình bày kênh Wi-Fi dạng biểu đồ rất trực quan.

Bài thực hành 3: Cấu hình router không dây và AP

Để có thêm kinh nghiệm thiết lập và cấu hình không dây, bạn nên tập với router không dây tại nhà. Hoặc tốt hơn, bạn nên tiếp xúc với một AP nào được sản xuất cho doanh nghiệp. Tốt nhất là bạn mượn của ai đó trong bộ phận CNTT trong công ty mình, hoặc thử xem trên thị trường có loại router hay AP nào dành cho doanh nghiệp giá rẻ không, như AP của Ubiquiti Networks có giá khá mềm (khoảng 70 USD trên eBay).

Để truy cập được vào giao diện cấu hình router không dây, bạn gõ vào địa chỉ IP trên trình duyệt. Hãy tham khảo lại Bài thực hành 1, địa chỉ IP của router giống như địa chỉ Default Gateway mà Windows liệt kê trong cửa sổ Details về kết nối không dây.

Truy cập giao diện cấu hình AP khá khác nhau. Nếu có một bộ điều khiển không dây thì sẽ có một giao diện chung để bạn có thể cấu hình cho mọi AP. Còn hệ thống nào không có bộ điều khiển không dây này thì bạn phải truy cập từng AP một thông qua địa chỉ IP của nó.

Một khi bạn truy cập được vào giao diện cấu hình router hoặc AP, hãy xem mọi thiết lập và cố hiểu chúng. Hãy xem kích hoạt tính năng tách không dây (hoặc layer 2) nếu thiết bị hỗ trợ và xem nó chặn người dùng-người dùng như thế nào. Bạn cũng có thể thay đổi địa chỉ IP của router/AP trong thiết lập LAN, tắt DHCP và gán địa chỉ IP cụ thể cho từng thiết bị/máy tính. Bạn cũng xem địa chỉ DNS tĩnh (như OpenDNS) trong thiết lập WAN; thiêt lập Quality of Service (QoS) để ưu tiên luồng dữ liệu. Khi bạn đã thông thạo các thông số ấy, hãy thiết lập mức bảo mật cao nhất cho hệ thống mạng là WPA2.

Gán địa chỉ IP và địa chỉ DNS cho router.

Trong trường hợp bạn không thể kiếm được một AP mức doanh nghiệp, hãy xem qua các công cụ giả lập giao diện hoặc demo của một số hãng sản xuất, như Cisco chẳng hạn.

How to Identify Network Abuse with Wireshark

Wireshark is the Swiss Army knife of network analysis tools. Whether you’re looking for peer-to-peer traffic on your network or just want to see what websites a specific IP address is accessing, Wireshark can work for you.

We’ve previously given an introduction to Wireshark. and this post builds on our previous posts. Bear in mind that you must be capturing at a location on the network where you can see enough network traffic. If you do a capture on your local workstation, you’re likely to not see the majority of traffic on the network. Wireshark can do captures from a remote location — check out our Wireshark tricks post for more information on that.

Identifying Peer-to-Peer Traffic

Wireshark’s protocol column displays the protocol type of each packet. If you’re looking at a Wireshark capture, you might see BitTorrent or other peer-to-peer traffic lurking in it.

You can see just what protocols are being used on your network from the Protocol Hierarchy tool, located under the Statistics menu.

This window shows a breakdown of network usage by protocol. From here, we can see that nearly 5 percent of packets on the network are BitTorrent packets. That doesn’t sound like much, but BitTorrent also uses UDP packets. The nearly 25 percent of packets classified as UDP Data packets are also BitTorrent traffic here.

We can view only the BitTorrent packets by right-clicking the protocol and applying it as a filter. You can do the same for other types of peer-to-peer traffic that may be present, such as Gnutella, eDonkey, or Soulseek.

Using the Apply Filter option applies the filter “bittorrent.” You can skip the right-click menu and view a protocol’s traffic by typing its name directly into the Filter box.

From the filtered traffic, we can see that the local IP address of 192.168.1.64 is using BitTorrent.

To view all the IP addresses using BitTorrent, we can select Endpoints in the Statistics menu.

Click over to the IPv4 tab and enable the “Limit to display filter” check box. You’ll see both the remote and local IP addresses associated with the BitTorrent traffic. The local IP addresses should appear at the top of the list.

If you want to see the different types of protocols Wireshark supports and their filter names, select Enabled Protocols under the Analyze menu.

You can start typing a protocol to search for it in the Enabled Protocols window.

Monitoring Website Access

Now that we know how to break traffic down by protocol, we can type “http” into the Filter box to see only HTTP traffic. With the “Enable network name resolution” option checked, we’ll see the names of the websites being accessed on the network.

Once again, we can use the Endpoints option in the Statistics menu.

Click over to the IPv4 tab and enable the “Limit to display filter” check box again. You should also ensure that the “Name resolution” check box  is enabled or you’ll only see IP addresses.

From here we, can see the websites being accessed. Advertising networks and third-party websites that host scripts used on other websites will also appear in the list.

If we want to break this down by a specific IP address to see what a single IP address is browsing, we can do that too. Use the combined filter http and ip.addr == [IP address] to see HTTP traffic associated with a specific IP address.

Open the Endpoints dialog again and you’ll see a list of websites being accessed by that specific IP address.

This is all just scratching the surface of what you can do with Wireshark. You could build much more advanced filters, or even use the Firewall ACL Rules tool from our Wireshark tricks post to easily block the types of traffic you’ll find here.

5 Killer Tricks to Get the Most Out of Wireshark

Wireshark has quite a few tricks up its sleeve, from capturing remote traffic to creating firewall rules based on captured packets. Read on for some more advanced tips if you want to use Wireshark like a pro.

We’ve already covered basic usage of Wireshark, so be sure to read our original article for an introduction to this powerful network analysis tool.

Network Name Resolution

While capturing packets, you might be annoyed that Wireshark only displays IP addresses. You can convert the IP addresses to domain names yourself, but that isn’t too convenient.

Wireshark can automatically resolve these IP address to domain names, although this feature isn’t enabled by default. When you enable this option, you’ll see domain names instead of IP addresses whenever possible. The downside is that Wireshark will have to look up each domain name, polluting the captured traffic with additional DNS requests.

You can enable this setting by opening the preferences window from Edit -> Preferences, clicking the Name Resolution panel and clicking the “Enable Network Name Resolution” check box.

Start Capturing Automatically

You can create a special shortcut using Wirshark’s command-line arguments if you want to start capturing packets without delay. You’ll need to know the number of the network interface you want to use, based on the order Wireshark displays the interfaces.

Create a copy of Wireshark’s shortcut, right-click it, go into its Properties window and change the command line arguments. Add -i # -k to the end of the shortcut, replacing # with the number of the interface you want to use. The -i option specifies the interface, while the -k option tells Wireshark to start capturing immediately.

If you’re using Linux or another non-Windows operating system, just create a shortcut with the following command, or run it from a terminal to start capturing immediately:

wireshark -i # -k

For more command-line shortcuts, check out Wireshark’s manual page.

Capturing Traffic From Remote Computers

Wireshark captures traffic from your system’s local interfaces by default, but this isn’t always the location you want to capture from. For example, you may want to capture traffic from a router, server, or another computer in a different location on the network. This is where Wireshark’s remote capture feature comes in. This feature is only available on Windows at the moment — Wireshark’s official documentation recommends that Linux users use an SSH tunnel.

First, you’ll have to install WinPcap on the remote system. WinPcap comes with Wireshark, so you don’t have to install WinPCap if you already have Wireshark installed on the remote system.

After it’s isntalled, open the Services window on the remote computer — click Start, type services.msc into the search box in the Start menu and press Enter. Locate the Remote Packet Capture Protocol service in the list and start it. This service is disabled by default.

Click the Capture Options link in Wireshark, then select Remote from the Interface box.

Enter the address of the remote system and 2002 as the port . You must have access to port 2002 on the remote system to connect, so you may need to open this port in a firewall.

After connecting, you can select an interface on the remote system from the Interface drop-down box. Click Start after selecting the interface to start the remote capture.

Wireshark in a Terminal (TShark)

If you don’t have a graphical interface on your system, you can use Wireshark from a terminal with the TShark command.

First, issue the tshark -D command. This command will give you the numbers of your network interfaces.

Once you have, run the tshark -i # command, replacing # with the number of the interface you want to capture on.

TShark acts like Wireshark, printing the traffic it captures to the terminal. Use Ctrl-C when you want to stop the capture.

Printing the packets to the terminal isn’t the most useful behavior. If we want to inspect the traffic in more detail, we can have TShark dump it to a file that we can inspect later. Use this command instead to dump traffic to a file:

tshark -i # -w filename

TShark won’t show you the packets as they’re being captured, but it will count them as it captures them. You can use the File -> Open option in Wireshark to open the capture file later.

For more information about TShark’s command line options, check out its manual page.

Creating Firewall ACL Rules

If you’re a network administrator in charge of a firewall and you’re using Wireshark to poke around, you may want to take action based on the traffic you see — perhaps to block some suspicious traffic. Wireshark’s Firewall ACL Rules tool generates the commands you’ll need to create firewall rules on your firewall.

First, select a packet you want to create a firewall rule based on by clicking on it. After that, click the Tools menu and select Firewall ACL Rules.

Use the Product menu to select your firewall type. Wireshark supports Cisco IOS, different types of Linux firewalls, including iptables, and the Windows firewall.

You can use the Filter box to create a rule based on either system’s MAC address, IP address, port, or both the IP address and port. You may see fewer filter options, depending on your firewall product.

By default, the tool creates a rule that denies inbound traffic. You can modify the rule’s behavior by unchecking the Inbound or Deny checkboxes. After you’ve created a rule, use the Copy button to copy it, then run it on your firewall to apply the rule.