、抜け穴を「閉じる」というタスクが発生します。
ネットワークを介したリモートコントロール用のアプリケーションはたくさんあります:Chromeリモートデスクトップ、AmmyAdmin、LiteManager、TeamViewer、Anyplace Controlなど。Chromeリモートデスクトップにサービスへのアクセスの可用性に対抗するための公式マニュアルがある場合、TeamViewerには時間またはリクエストに関するライセンス制限がありますネットワークとユーザーから、管理者に何らかの形で「歯を食いしばって」、それから個人的な使用のために多くの人のお気に入り-特に上司が「いいえ!」と言った場合、AnyDeskはまだ特別な注意を必要とします。
 |
その内容によってネットワークパケットをブロックすることが何であるかを知っていて、それに満足している場合、残りの資料はあなたを
対象としていません。 |
反対の方向から行こうとすると、サイト自体が、プログラムが機能するために何を許可する必要があるかをそれぞれ示し、DNSレコード* .net.anydesk.comがブロックされました。しかし、AnyDeskは簡単ではなく、ドメイン名のブロックを気にしません。
15.08を更新します。
AnyDeskをブロックする正しい解決策が提案されました prymalbeets123:
relays.net.anydesk.com
391 . , .
[bash#]host relays.net.anydesk.com
391 . , .
疑わしいソフトウェアで発生した「AnyplaceControl」をブロックする問題を解決したら、いくつかのIPのみをブロックすることで解決しました(アンチウイルスに保険をかけました)。 AnyDeskでの作業は、12を超えるIPアドレスを手動で収集した後、日常の手動作業から逃れるように促しました。
また、「C:\ ProgramData \ AnyDesk」には、設定などのファイルが多数あり、接続や障害に関するイベントがad_svc.traceファイルに収集されていることがわかりました。
1.観察
すでに述べたように、* .anydesk.comをブロックしてもプログラムの作業に結果は得られなかったため、ストレスの多い状況でのプログラムの動作を分析することにしました。 SysinternalsからのTCPViewを手に入れてください!
1.1。私たちが関心を持っているいくつかのプロセスが「ハング」しており、外部からアドレスに接続されているプロセスだけが私たちに関心を持っていることがわかります。それが接続されているポートは、私が見たものから整理されています:80、443、6568。:) 80と443私たちは間違いなくブロックすることはできません。
1.2。ルーターを介してアドレスをブロックした後、別のアドレスが静かに選択されます。
| 1.3。コンソールは私たちのすべてです!PIDを決定します。ここで、AnyDeskがサービスによってそれぞれインストールされたのは少し幸運でした。必要なPIDは1つだけです。 | 1.4。プロセスPIDによってサービスサーバーのIPアドレスを決定します。 |
 |
|
2.準備
IPアドレスを検出するプログラムはおそらく私のPCでしか機能しないので、利便性と怠惰に制限はありません。したがって、C#です。
2.1。目的のIPアドレスを識別するためのすべての方法が実装されていることがすでにわかっています。
string pid1_;// PID AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c \"tasklist.exe /fi \"imagename eq AnyDesk.exe\" /NH /FO CsV | findstr \"Services\"\"";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//
pid1_ = pid1[1].Replace("\"", "");// 2
}同様に、接続を確立したサービスを見つけます。メインラインのみを提供します
p.StartInfo.Arguments = "/c \" netstat -n -o | findstr /I " + pid1_ + " | findstr \"ESTABLISHED\"\"";その結果は次のようになります。
前の手順と同様に、行から3番目の列を抽出し、「:」の後のすべてを削除します。その結果、希望するIPが得られます。
2.2。WindowsでのIPブロッキング。LinuxにBlackholeとiptablesがある場合、ファイアウォールを使用せずに1行でIPアドレスをブロックする方法は、Windowsでは珍しいことが判明しましたが
、どのツールが...
route add __IP_ mask 255.255.255.255 10.113.113.113 if 1 -pkeyパラメータ「1の場合は、」(あなたは、ルート印刷を実行することにより、利用可能なインタフェースを表示することができます)ループバックへのルートを送信することです。そして重要!ルートを変更するには昇格が必要なため、プログラムは管理者権限で実行する必要があります。
2.3。検出されたIPアドレスの表示と保存は簡単な作業であり、説明は必要ありません。考えてみれば、AnyDesk自体のad_svc.traceファイルを処理することもできますが、すぐには考えていませんでした+おそらく制限があります。
2.4。プログラムの奇妙な不均一な動作は、Windows 10でサービスのtaskkillプロセスが自動的に再起動し、Windows 8で終了すると、コンソールプロセスのみが残り、再接続せずに、一般に非論理的で不正確になることです。
サーバーに接続しているプロセスを削除すると、次のアドレスへの再接続を「強制」できます。これは前のコマンドと同様に実装されているので、以下のみを示します。
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";さらに、AnyDeskプログラムを起動します。
// path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5。AnyDeskのステータスを1分に1回(またはもっと頻繁に?)チェックし、接続されているかどうかを確認します。ESTABLISHED接続-このIPをブロックし、もう一度繰り返します-接続するまで待ち、ブロックして待ちます。
3.攻撃
コードは「スケッチ」され、「+」は検出されブロックされたIPを示し、「。」-AnyDeskからの接続が成功せずにチェックを繰り返すことが決定されたプロセスを視覚化しました。
→プロジェクトコード
結果として..。
このプログラムは、AnyDeskバージョン5および6の異なるWindows OSを搭載した複数のコンピューターで動作しました。500回の反復で、約80のアドレスが収集されました。 2500〜87など...
時間の経過とともに、ブロックされたIPの数は100以上に達しました。アドレスが記載さ
れた最終的なテキストファイル(ブラックリスト)へのリンク:>> 1 <<および>> 2 <<
完了です!スクリプトを介したIPアドレスのプールはメインルーターのルールに追加され、AnyDeskは単に外部接続を作成できません。
最初のログによると、奇妙な瞬間があります。アドレスboot-01.net.anydesk.comが情報の転送に関与していることは明らかです。..。もちろん、原則としてすべての* .net.anydesk.comホストをブロックしましたが、これは奇妙なことではありません。異なるコンピューターからの通常のpingを実行するたびに、このドメイン名は異なるIPを提供します。 Linuxで確認してください
host boot-01.net.anydesk.com
。DNSLookupのように1つのIPアドレスしか提供しませんが、このアドレスは可変です。 TCPView接続を分析する場合、タイプリレーのIPアドレスのPTRレコードを返します-*。Net.anydesk.com。
理論的には、pingはブロックされていない不明なホストboot-01.net.anydesk.comに送信されることがあるため、これらのipを見つけてブロックし、この実装をLinux OSでの通常のスクリプトにすることができます。ここに、AnyDeskをインストールする必要はありません。分析によると、これらのIPはしばしば「重複する」「リストから見つかったものを使用します。おそらくこれは、既知のIPの検索を開始する前にプログラムが接続するこのホストだけです。おそらく、ホストの検索の2番目の部分で記事を補足しますが、現時点ではプログラム自体はインストールされません。一般的な外部接続。
更新2020年8月15日:Habrユーザー@ prymalbeets123は、ホストrelays.net.anydesk.comがあるという事実に注意を向けました。これは391のIPアドレスに対応し、それらのリストを含むファイルは上記のリンクで正しいものとして見つけることができます。AnyDeskプログラムを監視することで収集されるアドレスが少ないことに気付きましたが、一般的な391に含まれておらず、「左」のドメイン名で解決されるアドレスもあります。コンピューターへの接続を開始したアドレスも「収集」したことがわかりました:)。
上記で違法なものが見られなかったことを願っています。AnyDeskの作成者は私の行動をスポーティに扱います。