Sniffing network traffic for signs of viruses/spyware

Como posso ligar um sistema a uma rede e cheirar o tráfego relacionado com vírus/spyware? Eu gostaria de ligar um cabo de rede, ligar uma ferramenta de areia apropriada para que ele digitalize os dados para quaisquer sinais de problemas. Eu não espero que isso encontre TUDO, e isso não é para prevenir a infecção inicial, mas para ajudar a determinar se há alguma coisa tentando ativamente infectar outro sistema/causando problemas de rede.

Executando um rastreador de rede regular e procurando manualmente através dos resultados não é bom a menos que o tráfego é realmente óbvio,mas eu não tenho sido capaz de encontrar qualquer ferramenta para digitalizar um fluxo de dados de rede automaticamente.

Author: DrStalker, 2008-09-24
Source

8 answers

Eu recomendo executar Snort numa máquina algures perto do núcleo da sua rede, e span (mirror) uma (ou mais) portas de algum lugar ao longo do seu caminho de rede principal para a máquina em questão.

O Snort tem a capacidade de verificar o tráfego de rede que vê, e notificá-lo automaticamente através de vários métodos se vir algo suspeito. Isto poderia até ser levado mais longe, se desejado, para desligar automaticamente dispositivos, etc, se encontrar alguma coisa.

 14
Author: Dominic Eidson, 2008-09-24 00:37:08

  1. Utilizar snort : um sistema de prevenção e detecção de intrusões em rede aberto.

  2. Wireshark , anteriormente ethereal é uma grande ferramenta, mas não vai notificá-lo ou pesquisar por vírus. Wireshark é um sniffer de pacotes gratuito e analisador de protocolos.

  3. Use o comando netstat-b para ver quais os processos que têm portas abertas.

  4. Use CPorts para ver uma lista de portas e os programas associados, e ter a capacidade para fechar os portos.

  5. Faça o Download de um programa antivírus gratuito como AVG.

  6. Prepara a firewall com mais força.

  7. Configurar um computador gateway para deixar todo o tráfego de rede passar. Em vez disso, leve as recomendações acima para o computador gateway. Você vai verificar toda a sua rede em vez de apenas um computador.

 12
Author: Brian R. Bondy, 2008-09-24 00:53:18

Podes fazer Snort procurar o tráfego de vírus. Penso que esta será a melhor solução para si.

 3
Author: Jerub, 2008-09-24 00:36:49

Para ver o tráfego de rede local a sua melhor aposta (com um interruptor decente) é definir o seu interruptor para encaminhar todos os pacotes para uma interface específica (bem como qualquer interface que normalmente enviaria). Isto permite-lhe monitorizar toda a rede, despenhando o tráfego num porto específico.

Numa rede de 100 megabit, no entanto, irá querer uma porta gigabit no seu interruptor para a ligar ou filtrar no protocolo (por exemplo, aparar HTTP, FTP, impressão, tráfego do servidor de ficheiros, etc.), ou os buffers do seu switch vão encher-se quase instantaneamente e ele vai começar a largar os pacotes que precisa (e o seu desempenho da rede vai morrer).

 2
Author: Dan Udey, 2008-09-24 01:03:29

O problema com essa abordagem é que a maioria das redes hoje em dia são comutadores, não hubs. Então, se você ligar uma máquina com um sniffer de pacotes no interruptor, ela só será capaz de ver tráfego de e para a máquina de sniffing; e transmissões de rede.

 1
Author: Ferruccio, 2008-09-24 00:42:59

Como seguimento do comentáriodo Ferruccio , terá de encontrar algum método para contornar os seus interruptores.

Uma série de interruptores de rede têm a opção de configurar espelhos portuários, de modo que todo o tráfego (independentemente do Destino) será copiado, ou "espelhado", para um porto nomeado. Se você pudesse configurar o seu botão para fazer isso, então você seria capaz de anexar o seu farejador de rede aqui.

 0
Author: Andrew Edgecombe, 2017-05-23 12:14:57
 0
Author: MrBoJangles, 2008-09-24 01:46:05

Pode utilizar um IDS, hardware ou software http://en.wikipedia.org/wiki/Intrusion-detection_system

 0
Author: CPU_BUSY, 2008-10-28 04:41:24