嗅探网络流量以查找病毒/间谍软件的迹象

时间:2008-09-24 00:33:52

标签: networking sysadmin virus sniffing spyware

如何将系统连接到网络并嗅探病毒/间谍软件相关的流量?我想插上一根网线,启动一个合适的工具沙,让它扫描数据是否有任何问题迹象。我不希望这会找到所有内容,这不是为了防止初始感染,而是帮助确定是否有任何东西试图主动感染其他系统/导致网络问题。

运行常规网络嗅探器并手动查看结果是没有用的,除非流量非常明显,但我找不到任何工具来自动扫描网络数据流。

8 个答案:

答案 0 :(得分:14)

我强烈建议在网络核心附近的计算机上运行Snort,并从核心网络路径的某个位置跨越(镜像)一个(或多个)端口到相关计算机。

Snort能够扫描它看到的网络流量,如果发现可疑内容,它会自动通过各种方法通知您。如果需要,甚至可以进一步自动断开设备,等等,如果它找到了什么。

答案 1 :(得分:12)

  1. 使用snort:开源网络入侵防御和检测系统。

  2. Wireshark,以前的ethereal是一个很棒的工具,但不会通知您或扫描病毒。 Wireshark是一个免费的数据包嗅探器和协议分析器。

  3. 使用netstat -b命令查看哪些进程有哪些端口打开。

  4. 使用CPorts查看端口列表和相关程序,并能够关闭这些端口。

  5. 下载免费的防病毒程序,例如free AVG

  6. 更严密地设置防火墙。

  7. 设置网关计算机以使所有网络流量通过。请将上述建议改为网关计算机。您将检查整个网络,而不仅仅是您的一台计算机。

答案 2 :(得分:3)

您可以Snort扫描流量以查找病毒。我认为这对您来说是最好的解决方案。

答案 3 :(得分:2)

对于观看本地网络流量,您最好的选择(使用合适的交换机)是将您的交换机设置为将所有数据包路由到特定接口(以及它通常发送的任何接口)。这使您可以通过将流量转储到特定端口来监控整个网络。

但是,在100兆网络上,您需要将交换机上的千兆端口插入或过滤协议(例如,修剪HTTP,FTP,打印,来自文件服务器的流量等),或者您的交换机的缓冲区将立即填满,并且它将开始丢弃它所需的任何数据包(并且您的网络性能将会消失)。

答案 4 :(得分:1)

这种方法的问题在于,今天的大多数网络都在交换机上,而不是集线器。因此,如果您将带有数据包嗅探器的计算机插入交换机,它将只能看到进出嗅探机的流量;和网络广播。

答案 5 :(得分:0)

作为Ferruccio's评论的后续内容,您需要找到一些绕过开关的方法。

许多网络交换机都可以选择设置端口镜像,以便将所有流量(无论目的地)复制或“镜像”到指定端口。如果您可以将交换机配置为执行此操作,那么您可以在此处附加网络嗅探器。

答案 6 :(得分:0)

Network Magic,如果你不介意那些不是开源的东西。

答案 7 :(得分:0)

您可以使用IDS,硬件或软件 http://en.wikipedia.org/wiki/Intrusion-detection_system