12

如何将系统连接到网络并嗅探与病毒/间谍软件相关的流量?我想插入网线,启动适当的工具并让它扫描数据以查找任何问题迹象。我不希望这能找到所有东西,这不是为了防止最初的感染,而是帮助确定是否有任何东西试图主动感染其他系统/导致网络问题。

除非流量非常明显,否则运行常规网络嗅探器并手动查看结果是不好的,但我无法找到任何工具来自动扫描网络数据流。

4

8 回答 8

14

我强烈建议在靠近网络核心的某台机器上运行Snort,并从核心网络路径的某处跨越(镜像)一个(或多个)端口到相关机器。

Snort 能够扫描它看到的网络流量,并在发现可疑情况时通过各种方法自动通知您。如果需要,甚至可以进一步采取措施,在发现某些东西时自动断开设备等。

于 2008-09-24T00:37:08.810 回答
12

  1. 使用snort:一个开源的网络入侵预防和检测系统。

  2. Wireshark,以前的 ethereal 是一个很棒的工具,但不会通知您或扫描病毒。Wireshark 是一个免费的数据包嗅探器和协议分析器。

  3. 使用 netstat -b 命令查看哪些进程打开了哪些端口。

  4. 使用CPorts查看端口列表和相关程序,并能够关闭这些端口。

  5. 下载免费的防病毒程序,例如免费的 AVG

  6. 更紧密地设置防火墙。

  7. 设置网关计算机以让所有网络流量通过。将上述建议改为网关计算机。您将检查整个网络,而不仅仅是一台计算机。

于 2008-09-24T00:39:44.530 回答
3

您可以让Snort扫描流量以查找病毒。我认为这将是您的最佳解决方案。

于 2008-09-24T00:36:49.077 回答
2

对于观看本地网络流量,您最好的选择(使用不错的交换机)是将您的交换机设置为将所有数据包路由到特定接口(以及它通常发送的任何接口)。这使您可以通过将流量转储到特定端口来监控整个网络。

但是,在 100 兆位网络上,您需要交换机上的千兆端口将其插入或过滤协议(例如,修剪 HTTP、FTP、打印、来自文件服务器的流量等)或交换机的缓冲区会立即填满,它会开始丢弃它需要的任何数据包(并且您的网络性能会下降)。

于 2008-09-24T01:03:29.073 回答
1

这种方法的问题在于,当今大多数网络都在交换机上,而不是集线器上。因此,如果您将带有数据包嗅探器的机器插入交换机,它将只能看到进出嗅探机的流量;和网络广播。

于 2008-09-24T00:42:59.343 回答
0

作为Ferruccio评论的后续行动,您将需要找到一些绕过开关的方法。

许多网络交换机可以选择设置端口镜像,以便所有流量(无论目的地如何)都将被复制或“镜像”到指定端口。如果您可以配置您的交换机来执行此操作,那么您将能够在此处连接您的网络嗅探器。

于 2008-09-24T00:48:13.057 回答
0

Network Magic,如果您不介意非开源的东西。

于 2008-09-24T01:46:05.727 回答
0

您可以使用 IDS、硬件或软件 http://en.wikipedia.org/wiki/Intrusion-detection_system

于 2008-10-28T04:41:24.670 回答