Обнюхание сетевого трафика за признаки вирусов/шпионских программ

Question

Как подключить систему к сети и обнюхать трафик, связанный с вирусами и шпионами? Я хотел бы подключить сетевой кабель, запустить соответствующий инструмент песка, чтобы он сканировал данные по любым признакам проблем. Я не ожидаю, что это все обнаружит, и это не должно предотвратить первоначальную инфекцию, но помочь определить, есть ли что-либо, пытающееся активно заразить другие системные/вызывающие проблемы в сети.

Запуск обычного сетевого анализатора и просмотр результатов вручную нехорошо, если трафик действительно не очевиден, но я не смог найти какой-либо инструмент для автоматического сканирования сетевого потока данных.

Answer 1

Я настоятельно рекомендую запустить Snort на машине где-то рядом с ядром вашей сети и проложить (зеркало) один (или более) порты откуда-то вдоль вашего основного сетевого пути к рассматриваемой машине.

Snort имеет возможность сканировать сетевой трафик, который он видит, и автоматически уведомлять вас различными способами, если он видит что-то подозрительное. Это можно даже предпринять, если необходимо, для автоматического отключения устройств и т. Д., Если оно что-то обнаружит.

Answer 2

Вы можете сделать Snort трафик сканирования для вирусов. Я думаю, что это будет лучшим решением для вас.

Answer 3

1. Использование snort: система предотвращения и обнаружения вторжений с открытым исходным кодом.

2. Wireshark, ранее эфир был отличным инструментом, но не уведомлял вас или не просматривал вирусы. Wireshark - бесплатный анализатор пакетов и анализатор протоколов.

3. Используйте команду netstat -b, чтобы увидеть, какие процессы открывают порты.

4. Используйте CPorts, чтобы просмотреть список портов и связанных с ними программ и иметь возможность закрыть эти порты.

5. Скачайте бесплатную антивирусную программу, такую ​​как free AVG.

6. Настройте свой брандмауэр более плотно.

7. Настройка шлюзового компьютера, через который проходит весь сетевой трафик. Вместо этого возьмите вышеуказанные рекомендации на компьютер шлюза. Вы будете проверять всю свою сеть, а не только свой компьютер.

Answer 4

Проблема с этим подходом заключается в том, что большинство сетей сегодня находятся на коммутаторах, а не на концентраторах. Таким образом, если вы подключите машину с пакетом sniffer к коммутатору, он сможет видеть только трафик на и от устройства для обнюхивания; и сетевые трансляции.

Answer 5

В качестве комментария к комментарию Ferruccio's вам нужно будет найти способ обойти ваши коммутаторы.

Несколько сетевых коммутаторов имеют возможность настраивать зеркала портов, чтобы весь трафик (независимо от места назначения) был скопирован или «зеркально» назначенному порту. Если вы можете настроить свой коммутатор для этого, вы можете подключить к нему сетевого сниффера.

Answer 6

Для просмотра трафика в локальной сети наилучшим выбором (с достойным коммутатором) является настройка вашего коммутатора для маршрутизации всех пакетов из определенного интерфейса (а также любого другого интерфейса, который он обычно отправляет). Это позволяет отслеживать всю сеть, сбрасывая трафик по определенному порту.

В сети с 100 мегабайтами вам нужен гигабитный порт на вашем коммутаторе, чтобы подключить его или фильтровать по протоколу (например, обрезать HTTP, FTP, печать, трафик с файлового сервера и т. Д.). , или буферы вашего коммутатора будут заполняться почти мгновенно, и он начнет отбрасывать все необходимые пакеты (и производительность вашей сети умрет).

Answer 7

Network Magic, если вы не против чего-то, что не является открытым исходным кодом.

Answer 8

Вы можете использовать IDS, аппаратное или программное обеспечение http://en.wikipedia.org/wiki/Intrusion-detection_system