如何将系统连接到网络并嗅探病毒/间谍软件相关的流量?我想插上一根网线,启动一个合适的工具沙,让它扫描数据是否有任何问题迹象。我不希望这会找到所有内容,这不是为了防止初始感染,而是帮助确定是否有任何东西试图主动感染其他系统/导致网络问题。
运行常规网络嗅探器并手动查看结果是没有用的,除非流量非常明显,但我找不到任何工具来自动扫描网络数据流。
答案 0 :(得分:14)
我强烈建议在网络核心附近的计算机上运行Snort,并从核心网络路径的某个位置跨越(镜像)一个(或多个)端口到相关计算机。
Snort能够扫描它看到的网络流量,如果发现可疑内容,它会自动通过各种方法通知您。如果需要,甚至可以进一步自动断开设备,等等,如果它找到了什么。
答案 1 :(得分:12)
答案 2 :(得分:3)
您可以Snort扫描流量以查找病毒。我认为这对您来说是最好的解决方案。
答案 3 :(得分:2)
对于观看本地网络流量,您最好的选择(使用合适的交换机)是将您的交换机设置为将所有数据包路由到特定接口(以及它通常发送的任何接口)。这使您可以通过将流量转储到特定端口来监控整个网络。
但是,在100兆网络上,您需要将交换机上的千兆端口插入或过滤协议(例如,修剪HTTP,FTP,打印,来自文件服务器的流量等),或者您的交换机的缓冲区将立即填满,并且它将开始丢弃它所需的任何数据包(并且您的网络性能将会消失)。
答案 4 :(得分:1)
这种方法的问题在于,今天的大多数网络都在交换机上,而不是集线器。因此,如果您将带有数据包嗅探器的计算机插入交换机,它将只能看到进出嗅探机的流量;和网络广播。
答案 5 :(得分:0)
作为Ferruccio's评论的后续内容,您需要找到一些绕过开关的方法。
许多网络交换机都可以选择设置端口镜像,以便将所有流量(无论目的地)复制或“镜像”到指定端口。如果您可以将交换机配置为执行此操作,那么您可以在此处附加网络嗅探器。
答案 6 :(得分:0)
Network Magic,如果你不介意那些不是开源的东西。
答案 7 :(得分:0)
您可以使用IDS,硬件或软件 http://en.wikipedia.org/wiki/Intrusion-detection_system