Sniffing Netzwerkverkehr auf Anzeichen von Viren / Spyware

StackOverflow https://stackoverflow.com/questions/124745

Frage

Wie kann ich ein System mit einem Netzwerk verbinden und schnüffele für Viren / Spyware gefährdende Verkehr? Ich möchte in einem Netzwerkkabel anschließen, mit einem geeigneten Werkzeug Sand Feuer haben sie die Daten auf Anzeichen von Problemen scannen. Ich erwarte nicht, dass dies alles zu finden, und das ist nicht Erstinfektion zu verhindern, sondern zu helfen, festzustellen, ob es etwas gibt, aktiv versuchen, ein anderes System zu infizieren / Netzwerkprobleme verursachen.

Ausführen eines regelmäßigen Netzwerk-Sniffer und manuell suchen durch die Ergebnisse nicht gut, wenn der Verkehr wirklich offensichtlich, aber ich havn't der Lage gewesen, jedes Werkzeug zu finden, ein Netzwerk-Datenstrom automatisch zu scannen.

War es hilfreich?

Lösung

ich laufe sehr empfehlen Snort auf eine Maschine irgendwo in der Nähe von dem Kern des Netzwerks und Spanne (Spiegel) eine (oder mehrere) Ports von irgendwo entlang Ihr Kernnetzwerkpfad an der Maschine in Frage.

Snort hat die Fähigkeit, den Netzwerkverkehr scannen sie sieht, und Sie automatisch über verschiedene Methoden informieren, wenn sie etwas Verdächtiges sehen. Dies könnte sich noch weiter genommen werden, falls gewünscht, automatisch Geräte zu trennen, und so weiter, wenn es etwas findet.

Andere Tipps

  1. Verwenden snort . Ein offen Source Network Intrusion Prevention und Detektionssystem

  2. Wireshark, ehemals Ethereal ist ein großes Werkzeug, aber Sie werden nicht auf Viren benachrichtigen oder scannen . Wireshark ist ein freies Paketsauganleger und Protokoll-Analysator.

  3. Mit dem netstat -b Befehl zu sehen, welche haben Prozesse, die Ports geöffnet.

  4. Verwenden Sie CPorts eine Liste der Ports und die dazugehörigen Programme zu sehen, und haben die Möglichkeit, die Ports zu schließen.

  5. ein kostenloses Anti-Virus-Programm herunterladen, wie kostenlos AVG .

  6. Richten Sie Ihre Firewall fester.

  7. Setup ein Gateway-Computer gesamte Netzwerkverkehr durchlaufen zu lassen. Nehmen Sie die oben recommendataions auf dem Gateway-Computer statt. Sie werden Ihr ganzes Netzwerk statt nur Sie ein Computer checken.

Sie können machen Snort Scan-Datenverkehr auf Viren. Ich denke, dies ist die beste Lösung für Sie sein.

Für die lokalen Netzwerkverkehr der beste Wahl zu beobachten (mit einem anständigen Schalter) ist der Switch zu routen alle Pakete setzen eine bestimmte Schnittstelle aus (sowie die Schnittstelle, normalerweise schicken würde). Auf diese Weise können Sie das gesamte Netzwerk überwachen, indem Verkehr nach unten einem bestimmt Port Dumping.

Auf einem 100-Megabit-Netzwerk, aber Sie werden ein Gigabit-Port auf dem Switch mögen es Stecker in oder auf Protokoll zu filtern (zB trimmt HTTP, FTP, Drucke, Datenverkehr aus dem File-Server, etc.), oder Switch-Puffer werden so ziemlich sofort füllen und es wird anfangen fallen, was Pakete, die er braucht, um (und die Netzwerkleistung wird sterben).

Das Problem mit diesem Ansatz ist, dass die meisten Netzwerke sind heute auf Switches, Hubs nicht. Wenn Sie also eine Maschine mit einem Paket-Sniffer in die Switch anschließen, wird es nur in der Lage sein zu sehen, Verkehr zu und von der Schnüffelmaschine; und Netzwerk-Broadcasts.

Als Followup auf Ferruccio der Kommentar Sie müssen eine Methode des Erhaltens um den Schalter zu finden.

Eine Reihe von Netzwerk-Switches hat die Möglichkeit, Port Spiegel einrichten, so dass die gesamten Verkehr (unabhängig vom Ziel) kopiert werden, oder „gespiegelt“, zu einem benannten Hafen. Wenn Sie Ihren Switch konfigurieren könnten, dies zu tun, dann würden Sie in der Lage sein, Ihre Netzwerk-Sniffer befestigen hier.

Network Magic , wenn Sie nichts dagegen haben, etwas, das nicht Open Source ist.

Sie können ein IDS, Hardware oder Software verwenden http://en.wikipedia.org/wiki/Intrusion-detection_system

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top