Detekce spuštěného a připojeného Skypu je v LAN poměrně snadná. Skype otvírá port TCP 80, takže k odhalení stačí síťový sken stanice (např. pomocí nmap) a analýza spuštěných procesů.
Příklad:
proskenujeme port 80 na stanici 192.168.1.10
E:\>nmap 192.168.1.10 -p 80 | findstr /i "open"
80/tcp open http
port je otevřený, může zde běžet webový server (u stanice neobvyklé), SQL server, Skype, atd.
na skenované stanici si lokálně zobrazíme aktivní připojení s portem 80
C:\>netstat -noa | findstr :80
TCP 0.0.0.0:80 0.0.0.0:0 NASLOUCHÁNÍ 3372
TCP 192.168.1.10:1339 204.9.163.162:80 CLOSE_WAIT 1268
poslední sloupec je PID, což je ProcessID procesu, který otevíra TCP 80 a je to skype.exe:
C:\>tasklist /fi "pid eq 3372"
Název procesu PID Název relace Číslo re Využití pamě
========================= ====== ================ ======== ============
Skype.exe 3372 RDP-Tcp#10 0 40496 kB
Celé toto řešení je optimální z hlediska rychlosti detekce, další způsob je hledat proces Skype.exe, což je pomalejší a musí bý splněno více prerekvizit (Domain Admin, RPC,…). Naproti tomu spuštěný a připojený Skype bude mít vždy vytvořený proces Skype.exe, a to i v případě, kdy orignální Skype.exe přejmenujete na Neco.exe.
Sken portu na více stanicích:for /f %%i in (workstations.txt) do (
echo %%i >> log.txt
nmap %%i -p 80 |findstr /i "open" >> log.txt
echo.>> log.txt
)
Change MaxPageSize value to 3000 (default 1000)
C:\Temp\x>type change.txt
dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxPageSize=3000
objectClass: queryPolicy
C:\Temp\x>ldifde -i -f change.txt -v -c DC=X "DC=domena,DC=cz"
Connecting to "server1.domena.cz"
Logging in as current user using SSPI
Importing directory from file "change.txt"
Loading entries
1: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domena,DC=cz
Entry modified successfully.
1 entry modified successfully.
The command has completed successfully
http://support.microsoft.com/default.aspx?scid=kb;en-us;315071&sd=tech
Jednoduchá kontrola požadovaných služeb na zadaných serverech. Používá se psservice.exe a postie.exe pro odeslání upozornění e-mailem – na spouštěném stroji je nutný otevřený port TCP 25.
echo off
set conf=sluzby.ini
set log=sluzby.log
set mail_komu=administrator@%userdnsdomain%
set smtp_server=192.168.2.100
set zprava=zkontrolujte nastaveni popsane sluzby
set poslimail=postie -host:%smtp_server% -to:%mail_komu% -msg:"%zprava%"
for /f "eol=# tokens=1-2 delims= " %%a in (%conf%) do (
psservice \\%%a query %%b | findstr /i "state" | findstr /i "running"
if errorlevel 1 (
%poslimail% -s:"Sluzba %%b nebezi" -from:%%a@%userdnsdomain% >> %log%
echo [%date%, %time%] %%a %%b CHYBA >> %log%
) else (
echo [%date%, %time%] %%a %%b OK >> %log%
)
)
Příklad kontrolního souboru ‚sluzby.ini‘
#Konfiguracni soubor pro kontrolu sluzeb
#
#syntaxe:
#nazev_serveru nazev_sluzby
#
#priklad:
#serv1 wuauclt
#AV sluzby
192.168.1.30 mcafeeframework
192.168.1.30 mcshield
192.168.1.30 mctaskmanager
#Printspooler na PDC
192.168.1.10 spooler