Прослушивание сетевого трафика на предмет наличия вирусов /шпионских программ

Question

Как я могу подключить систему к сети и отслеживать трафик, связанный с вирусами / шпионскими программами?Я бы хотел подключить сетевой кабель, запустить соответствующий инструмент и попросить его просканировать данные на наличие любых признаков проблем.Я не ожидаю, что это позволит найти все, и это делается не для предотвращения первоначального заражения, а для того, чтобы помочь определить, пытается ли что-либо активно заразить другую систему / вызвать сетевые проблемы.

Запускать обычный сетевой анализатор и вручную просматривать результаты бесполезно, если трафик действительно не очевиден, но я не смог найти ни одного инструмента для автоматического сканирования сетевого потока данных.

Answer 1

Я настоятельно рекомендую бегать Фырканье на компьютере, расположенном где-то рядом с ядром вашей сети, и подключите (зеркально отобразите) один (или несколько) портов откуда-то по вашему основному сетевому пути к соответствующему компьютеру.

Snort имеет возможность сканировать сетевой трафик, который он видит, и автоматически уведомлять вас различными способами, если он видит что-то подозрительное.При желании это можно было бы даже сделать дальше, чтобы автоматически отключать устройства и так далее, если он что-то обнаружит.

Answer 2

1. Использование фырканье:Система предотвращения и обнаружения сетевых вторжений с открытым исходным кодом.

2. Проволочная Колючка, ранее ethereal - отличный инструмент, но он не будет уведомлять вас и проверять на наличие вирусов.Wireshark - это бесплатный анализатор пакетов и протоколов.

3. Используйте команду netstat -b, чтобы увидеть, у каких процессов какие порты открыты.

4. Использование Порты чтобы увидеть список портов и связанных с ними программ, а также иметь возможность закрыть эти порты.

5. Скачайте бесплатную антивирусную программу, такую как свободный средний балл.

6. Настройте свой брандмауэр более тщательно.

7. Настройте компьютер-шлюз таким образом, чтобы пропускать весь сетевой трафик.Вместо этого перенесите приведенные выше рекомендации на компьютер шлюза.Вы будете проверять всю свою сеть, а не только один компьютер.

Answer 3

Вы можете сделать Фырканье сканируйте трафик на наличие вирусов.Я думаю, это будет лучшим решением для вас.

Answer 4

Для просмотра трафика локальной сети лучше всего (при наличии приличного коммутатора) настроить ваш коммутатор на маршрутизацию всех пакетов через определенный интерфейс (а также через любой другой интерфейс, который он обычно отправляет).Это позволяет вам отслеживать всю сеть, сбрасывая трафик через определенный порт.

Однако в 100-мегабитной сети вам понадобится гигабитный порт на вашем коммутаторе для его подключения или фильтрации по протоколу (напримеротключите HTTP, FTP, печать, трафик с файлового сервера и т.д.), Или буферы вашего коммутатора заполнятся практически мгновенно, и он начнет отбрасывать все необходимые пакеты (и производительность вашей сети снизится).

Answer 5

Проблема такого подхода заключается в том, что большинство сетей сегодня работают на коммутаторах, а не на концентраторах.Таким образом, если вы подключите устройство с анализатором пакетов к коммутатору, оно сможет видеть трафик только к перехватывающему устройству и от него;и сетевые трансляции.

Answer 6

В дополнение к У Ферруччо комментарий вам нужно будет найти какой-нибудь способ обойти ваши переключатели.

Ряд сетевых коммутаторов имеют возможность настройки зеркал портов, так что весь трафик (независимо от пункта назначения) будет скопирован, или "зеркально отражен", на назначенный порт.Если бы вы могли настроить свой коммутатор таким образом, то смогли бы подключить сюда свой сетевой сниффер.

Answer 7

Сетевая Магия, если вы не возражаете против чего-то, что не является открытым исходным кодом.

Answer 8

Вы можете использовать IDS, аппаратное или программное обеспечение http://en.wikipedia.org/wiki/Intrusion-detection_system