你的家庭網路和一切連線到它就像一個金庫。在您的登入背後隱藏著大量有價值的資訊，從包含個人資料的未加密檔案到可能被劫持並用於任何目的的裝置。在這篇文章中，我們將向您展示如何規劃您的網路，在封面下看一眼誰在談論什麼，以及如何發現可能佔用頻寬的裝置或程序（或者是您網路上的意外訪客）。

簡言之：你將能夠識別出你的網路中的某些東西被破壞的跡象。我們假設您熟悉一些網路基礎知識，比如如何找到路由器的裝置列表以及MAC地址是什麼。如果沒有，請先到我們的知網夜校複習。

不過，在我們進一步討論之前，我們應該發出警告：永遠使用這些電源，並且只在您擁有或管理的硬體或網路上執行這些工具和命令。友好的鄰裡IT部門不喜歡你在公司網路上進行埠掃描或嗅探資料包，當地咖啡店的所有人也不喜歡。

第一步：**網路地圖

在你登入到你的電腦之前，寫下你認為你對你的網路瞭解多少。從一張紙開始，記下所有連線的裝置。這包括智慧電視、智慧揚聲器、膝上型電腦和電腦、平板電腦和**，或任何其他可能連線到您的網路的裝置。如果有幫助的話，畫一張你家的房間地圖。然後寫下每一個裝置和它的位置。您可能會驚訝於您同時連線了多少個裝置。

網路管理員和工程師會意識到這是探索任何你不熟悉的網路的第一步。清點一下上面的裝置，找出它們，然後看看實際情況是否符合你的預期。如果（或什麼時候）不知道，你就能很快把你知道的和不知道的分開。

你可能只是想登入到你的路由器，看看它的狀態頁，看看什麼是連線，但不要這樣做了。除非你能透過IP和MAC地址識別出你網路上的所有東西，否則你只會得到一個包含入侵者或免費下載者的大列表。先進行實物盤點，然後再進行數字盤點。

第二步：探測你的網路，看看誰在上面

一旦你有了你的網路的物理地圖和你所有可信任裝置的列表，是時候開始挖掘了。登入到路由器並檢查其已連線裝置的列表。這將為您提供一個基本的名稱、IP地址和MAC地址列表。記住，路由器的裝置列表可能會或不會顯示所有內容。它應該，但有些路由器只顯示使用路由器作為其IP地址的裝置。不管怎樣，把名單放在一邊這很好，但我們需要更多的資訊。

下載並安裝nmap

接下來，我們將轉向我們的老朋友Nmap。對於那些不熟悉的人來說，Nmap是一個跨平臺、開源的網路掃描工具，可以找到網路上的裝置，以及這些裝置的大量細節。你可以看到他們使用的作業系統，IP和MAC地址，甚至開放的埠和服務。在這裡下載Nmap，檢視這些安裝指南進行設定，並按照這些說明查詢家庭網路上的主機。

一種選擇是從命令列安裝並執行Nmap（如果您想要圖形介面，Zenmap通常隨安裝程式一起提供）。掃描用於家庭網路的IP範圍。這發現了我家庭網路上的大多數活動裝置，不包括一些我增強了安全性的裝置（儘管這些裝置也可以透過Nmap的一些命令發現，您可以在上面的連結中找到）。

比較nmap的列表和路由器的列表

你應該在兩個列表上看到相同的東西，除非你之前寫的東西現在關機了。如果你在路由器上看到Nmap沒有出現的東西，試著直接對這個IP地址使用Nmap。

然後檢視Nmap找到的關於裝置的資訊。例如，如果它聲稱自己是一臺蘋果電視，它可能就不應該執行http之類的服務。如果它看起來很奇怪，請專門探究它以獲取更多資訊。

Nmap是一個非常強大的工具，但它不是最容易使用的。如果你有點怕槍，你還有其他選擇。Angry IP Scanner是另一個跨平臺的實用程式，它有一個好看且易於使用的介面，可以為您提供許多相同的資訊。Wireless Network Watcher是一個Windows實用程式，用於掃描您所連線的無線網路。Glasswire是另一個很好的選擇，它會在裝置連線或斷開網路時通知您。

第三步：四處嗅探，看看每個人都在和誰說話

現在，您應該有一個您知道並信任的裝置列表，以及一個您發現連線到網路的裝置列表。幸運的是，你在這裡完成了，所有的東西要麼匹配，要麼是不言自明的（例如，一臺電視，目前已關閉）。

但是，如果你看到任何你不認識的參與者，執行的服務與裝置不一致（為什麼我的Roku執行postgresql？），或者其他感覺不舒服的東西，是時候做一點嗅探了。包嗅探，也就是說。

當兩臺計算機通訊時，無論是在你的網路上還是在因特網上，它們都會向彼此傳送稱為“資料包”的資訊。總之，這些資料包建立了複雜的資料流，構成了我們觀看的影片或下載的文件。包嗅探是捕獲和檢查這些資訊的過程，以檢視它們的去向和包含的內容。

安裝wireshark

要做到這一點，我們需要Wireshark。這是一個跨平臺的網路監控工具，我們在嗅探密碼和cookie的指南中曾經做過一些資料包嗅探。在本例中，我們將以類似的方式使用它，但我們的目標不是捕獲任何特定的內容，只是監視網路中的通訊量型別。

要做到這一點，你需要在wifi上以“混雜模式”執行Wireshark，這意味著它不僅僅是在尋找進出你電腦的資料包，而是在收集你網路上能看到的任何資料包。

按照以下步驟進行設定：

• 下載並安裝Wireshark
• 選擇wifi介面卡。
• 點選Capture>Opti***，正如您在上面的影片中所看到的（由Hak5的同事提供），您可以為該介面卡選擇“在混雜模式下捕獲所有內容”。

現在您可以開始捕獲資料包了。當你開始抓捕的時候，你會得到很多資訊。幸運的是，Wireshark預見到了這一點，使其易於過濾。

因為我們只是想看看你網路上可疑的參與者在做什麼，所以要確保有問題的系統是線上的。繼續，捕捉幾分鐘的流量。然後你可以使用Wireshark的內建過濾器，根據裝置的IP地址過濾流量。

這樣做可以讓您快速檢視該IP地址正在與誰通話以及他們來回傳送的資訊。您可以右鍵單擊這些包中的任何一個來檢查它，跟蹤兩端之間的會話，並按IP或會話過濾整個捕獲。更多資訊，請檢視Wireshark的詳細過濾說明。

你可能還不知道你在看什麼，但這正是一個小偵探進來的地方。

分析粗略的活動

如果您看到可疑計算機與一個奇怪的IP地址通訊，請使用nslookup命令（在Windows的命令提示符中，或在OSX或Linux的終端中）獲取其主機名。它可以告訴你很多關於你的計算機連線到的網路的位置或型別。Wireshark還告訴你正在使用的埠，所以谷歌的埠號，看看什麼應用程式使用它。

例如，如果您的計算機透過通常用於IRC或檔案傳輸的埠連線到一個奇怪的主機名，那麼您可能有入侵者。當然，如果你發現該裝置透過電子郵件或HTTP/HTTPS等常用埠連線到信譽良好的服務，你可能剛剛無意中發現室友從未告訴你他擁有的平板電腦，或者隔壁有人偷了你的wifi。不管是哪種方式，你都將擁有自己解決問題所需的資料。

第四步：玩長遊戲並記錄你的捕獲

當然，並不是你網路上的每一個壞演員都會在你尋找他們的時候上網偷懶。到目前為止，我們教你如何檢查連線的裝置，掃描它們以確定它們的真實身份，然後嗅探它們的流量以確保一切正常。然而，如果可疑的電腦在你睡覺的時候在晚上做臟活，或者有人在你工作的時候整天抽你的wifi，不在身邊檢查，你該怎麼辦？

使用網路監控軟體

有幾種方法可以解決這個問題。一種選擇是使用類似Glasswire的程式，我們前面提到過。當有人連線到您的網路時，此軟體將向您發出警報。當你早上醒來或下班回家時，你可以看到在你不看的時候發生了什麼。

檢查路由器日誌

下一個選擇是使用路由器的日誌記錄功能。深入到路由器的故障排除或安全選項中的通常是一個專門用於日誌記錄的選項卡。您可以記錄多少以及什麼型別的資訊因路由器而異，但選項可能包括傳入IP、目標埠號、傳出IP或由網路上的裝置過濾的URL、內部IP地址及其MAC地址，以及網路上哪些裝置已透過DHCP向路由器簽入其IP地址（並且，透過代理，它非常健壯，日誌執行的時間越長，可以捕獲的資訊就越多。

像DD-WRT和Tomato這樣的自定義韌體（我們都向您展示瞭如何安裝）允許您監視和記錄頻寬和連線的裝置，並且可以將這些資訊轉儲到一個文字檔案中，您可以稍後進行篩選。根據路由器的設定方式，它甚至可以定期透過電子郵件將該檔案傳送給您，或者將其放到外部硬碟或NAS上。

不管是哪種方式，使用路由器經常被忽略的日誌記錄功能都是一個很好的方法，例如，在午夜過後，每個人都上床睡覺了，你的遊戲PC突然開始處理和傳輸大量的出站資料，或者你有一個老水蛭喜歡跳上你的wifi，開始在奇數小時下載洪流。

保持wireshark執行

你們最後的選擇，也是核武器的選擇，就是讓線鯊捕捉數小時或數天。這並非聞所未聞，許多網路管理員在真正分析奇怪的網路行為時也會這麼做。這是一個很好的方法來牽制壞演員或閑聊裝置。然而，它確實需要讓電腦開上很長時間，不斷地嗅探網路上的資料包，捕獲透過它的所有內容，這些日誌可能會佔用大量空間。您可以透過按IP或流量型別篩選捕獲來精簡內容，但如果您不確定要查詢的內容，那麼即使在幾個小時內檢視捕獲，也會有大量資料需要篩選。不過，它肯定會告訴你你需要知道的一切。

在所有這些情況下，一旦您記錄了足夠的資料，您就可以找出誰在使用您的網路、時間以及他們的裝置是否與您之前**的網路圖匹配。

第五步：鎖定你的網路

如果你已經跟隨到這裡，你已經確定了應該能夠連線到你的家庭網路的裝置，那些實際連線的裝置，確定了差異，並希望找出是否有任何不好的演員，意外的裝置，或水蛭掛在周圍。現在你要做的就是處理它們，令人驚訝的是，這是最簡單的部分。

一旦你鎖定路由器，Wifi水蛭就會被啟動。在你做任何事情之前，改變你的路由器的密碼，如果它是開啟的，關閉WPS。如果有人設法直接登入到你的路由器，你不想改變其他事情只是讓他們登入並重新訪問。確保你使用一個好的，強大的密碼，這是很難暴力。

接下來，檢查韌體更新。如果你的水蛭利用了你的路由器韌體中的漏洞或漏洞，這將阻止他們假設漏洞已被修補，當然。最後，確保你的無線安全模式設定為WPA2（因為WPA和WEP很容易破解），並將你的wifi密碼更改為另一個好的，長的密碼，不能強行。然後，應該能夠重新連線的裝置只有那些您給了新密碼的裝置。

這應該照顧任何人在你的網路上偷看你的wifi，併在你的網路上做他們的下載，而不是他們的。它也會幫助有線安全。如果可以，您還應該採取一些額外的無線安全步驟，例如關閉遠端管理或禁用UPnP。

對於有線電腦上的壞演員，你有一些狩獵要做。如果它實際上是一個物理裝置，它應該有一個直接連線到你的路由器。開始追蹤電纜，和你的室友或家人交談，看看發生了什麼事。最糟糕的情況是，您可以始終登入到路由器，並完全阻止可疑的IP地址。當機頂盒停止工作時，它的主人或是安靜地**電腦的人會很快地執行起來。

不過，這裡更令人擔憂的是電腦的安全問題。例如，一臺被劫持並加入僵屍網路進行一夜比特幣挖掘的臺式機，或者一臺感染了惡意軟體的機器打電話回家，把你的個人資訊傳送到誰都知道的地方，都可能是壞的。

一旦你把搜尋範圍縮小到特定的計算機上，是時候找出每臺機器上的問題所在了。如果你真的很擔心，就用安全工程師的方法來解決這個問題：一旦你的機器被擁有了，它們就不再可靠了。將它們吹走，重新安裝，並從備份中恢復(你確實有你的資料備份，不是嗎？）只要確保你一直盯著你的電腦，你不想從受感染的備份中恢復，然後重新開始這個過程。

如果你願意捲起袖子，你可以給自己一個可靠的防病毒工具和一個反惡意軟體按需掃描（是的，你需要兩者），並嘗試清理計算機的問題。如果您看到特定型別應用程式的流量，請檢視它是否不是惡意軟體，或者只是某人安裝的某個行為不正常的程式。繼續掃描，直到一切都變得乾凈，並不斷檢查流量從那臺電腦，以確保一切正常。

在網路監控和安全方面，我們只觸及了錶面。專家們可以使用很多特定的工具和方法來保護他們的網路安全，但是如果你是家裡和家人的網路管理員，這些步驟對你很有用。

根除網路上的可疑裝置或水蛭可能是一個漫長的過程，需要偵查和警惕。不過，我們並不是在鼓動妄想症。很有可能你找不到任何不尋常的東西，那些****慢或糟糕的wifi速度完全是另一回事。即便如此，知道如何探測網路以及如果發現不熟悉的東西該怎麼辦也是件好事。記住要善用你的力量。

這篇文章最初發表於2014年10月，2019年10月更新了最新資訊和資源。