Подтвердить что ты не робот

Обнюхание сетевого трафика за признаки вирусов/шпионских программ

Как подключить систему к сети и обнюхать трафик, связанный с вирусами и шпионами? Я хотел бы подключить сетевой кабель, запустить соответствующий инструмент песка, чтобы он сканировал данные по любым признакам проблем. Я не ожидаю, что это все обнаружит, и это не должно предотвращать первоначальную инфекцию, а помочь определить, есть ли что-либо, пытающееся активно заразить другие системные/вызывающие проблемы в сети.

Запуск обычного сетевого анализатора и просмотр результатов вручную нехорошо, если трафик действительно не очевиден, но я не смог найти какой-либо инструмент для автоматического сканирования сетевого потока данных.

4b9b3361

ОТВЕТЫ

Ответ 1

Я настоятельно рекомендую запустить Snort на машине где-то рядом с ядром вашей сети и span (mirror) один (или более) порты откуда-то вдоль вашего основного сетевого пути к рассматриваемой машине.

Snort имеет возможность сканировать сетевой трафик, который он видит, и автоматически уведомлять вас различными способами, если он видит что-то подозрительное. Это можно даже предпринять, если необходимо, для автоматического отключения устройств и т.д., Если оно что-то находит.

Ответ 2

  • Используйте snort: система предотвращения и обнаружения вторжений с открытым исходным кодом.

  • Wireshark, ранее эфир был отличным инструментом, но не уведомлял вас или не просматривал вирусы. Wireshark - бесплатный анализатор пакетов и анализатор протоколов.

  • Используйте команду netstat -b, чтобы узнать, какие процессы открывают порты.

  • Используйте CPorts, чтобы просмотреть список портов и связанных с ними программ и иметь возможность закрыть эти порты.

  • Загрузите бесплатную антивирусную программу, такую ​​как бесплатный AVG.

  • Более плотная настройка брандмауэра.

  • Установите компьютер шлюза, чтобы пройти весь сетевой трафик. Вместо этого возьмите вышеуказанные рекомендации на компьютер шлюза. Вы будете проверять всю свою сеть, а не только свой компьютер.

Ответ 3

Вы можете сделать Snort трафик сканирования для вирусов. Я думаю, это будет лучшим решением для вас.

Ответ 4

Для просмотра трафика в локальной сети наилучшим выбором (с достойным коммутатором) является установка вашего коммутатора для маршрутизации всех пакетов из определенного интерфейса (а также любого другого интерфейса, который он обычно отправляет). Это позволяет отслеживать всю сеть, сбрасывая трафик по определенному порту.

Однако на 100-мегабитной сети вам понадобится гигабитный порт на вашем коммутаторе, чтобы подключить его или фильтровать по протоколу (например, обрезать HTTP, FTP, печать, трафик с файлового сервера и т.д.), или ваши буферы переключателей будут заполняться в значительной степени мгновенно, и он начнет отбрасывать все необходимые ему пакеты (и производительность вашей сети умрет).

Ответ 5

Проблема с этим подходом заключается в том, что большинство сетей сегодня находятся на коммутаторах, а не на концентраторах. Таким образом, если вы подключите машину с пакетом sniffer к коммутатору, он сможет видеть только трафик на и от устройства для обнюхивания; и сетевые трансляции.

Ответ 6

В качестве комментария к комментариям Ferruccio вам нужно будет найти способ обойти ваши коммутаторы.

Несколько сетевых коммутаторов имеют возможность настраивать зеркала портов, чтобы весь трафик (независимо от места назначения) был скопирован или "зеркально" назначенному порту. Если вы можете настроить свой коммутатор для этого, вы можете подключить к нему сетевого сниффера.

Ответ 7

Network Magic, если вы не против чего-то, что не с открытым исходным кодом.