Обнаружение сетевого трафика на наличие вирусов и шпионских программ

Question

Как я могу подключить систему к сети и анализировать трафик, связанный с вирусами и шпионским ПО? Я хотел бы подключить сетевой кабель, запустить соответствующий инструмент, чтобы он сканировал данные на наличие каких-либо признаков проблем. Я не ожидаю, что это все найдет, и это не для того, чтобы предотвратить первоначальное заражение, но чтобы помочь определить, есть ли что-то, что пытается активно заразить другую систему / вызывает сетевые проблемы.

Запуск обычного сетевого анализатора и ручной просмотр результатов бесполезен, если трафик не является действительно очевидным, но я не смог найти никакого инструмента для автоматического сканирования потока сетевых данных.

Answer 1

Я настоятельно рекомендую запустить Snort на машине где-то рядом с ядром вашей сети и проложить (отразить) один (или несколько) портов из какой-либо части пути вашей базовой сети к рассматриваемой машине.

Snort имеет возможность сканировать сетевой трафик, который видит, и автоматически уведомлять вас различными способами, если обнаруживает что-то подозрительное. При желании это может быть предпринято дополнительно для автоматического отключения устройств и т. Д., Если они что-то найдут.

Answer 2

1. Использование snort : Система предотвращения и обнаружения вторжений в сеть с открытым исходным кодом.

2. Wireshark , ранее эфирный - отличный инструмент, но он не уведомляет вас и не сканирует на наличие вирусов. Wireshark - это бесплатный анализатор пакетов и анализатор протоколов.

3. Используйте команду netstat -b, чтобы увидеть, какие процессы имеют какие порты открыты.

4. Используйте CPorts , чтобы просмотреть список портов и связанных с ними программ и иметь возможность закрыть эти порты.

5. Скачать бесплатную антивирусную программу, такую ​​как free AVG .

6. Установите брандмауэр более плотно.

7. Настройте компьютер шлюза, чтобы пропускать весь сетевой трафик. Вместо этого перенесите приведенные выше рекомендации на компьютер шлюза. Вы будете проверять всю сеть, а не только один компьютер.

Answer 3

Вы можете Snort проверять трафик на наличие вирусов. Я думаю, что это будет лучшим решением для вас.

Answer 4

Для просмотра трафика локальной сети лучше всего (с приличным коммутатором) настроить коммутатор на маршрутизацию всех пакетов через определенный интерфейс (а также через любой интерфейс, который он обычно отправляет). Это позволяет контролировать всю сеть, сбрасывая трафик через определенный порт.

В 100-мегабитной сети, однако, вам понадобится гигабитный порт на коммутаторе для его подключения или фильтрации по протоколу (например, обрезка HTTP, FTP, печать, трафик с файлового сервера и т. Д.), или буферы вашего коммутатора почти мгновенно заполнятся, и он начнет отбрасывать все необходимые ему пакеты (и производительность вашей сети умрет).

Answer 5

Проблема этого подхода заключается в том, что большинство современных сетей работают на коммутаторах, а не на концентраторах. Таким образом, если вы подключите к коммутатору компьютер с анализатором пакетов, он сможет видеть только трафик к анализатору и обратно; и сетевые трансляции.

Answer 6

Вы можете использовать IDS, аппаратное или программное обеспечение http://en.wikipedia.org/wiki/Intrusion-detection_system

Answer 7

Сетевая магия , если вы не возражаете против чего-то, что не является открытым исходным кодом.

Answer 8

В качестве комментария к комментарию Ферруччо вам нужно будет найти способ обойти ваши коммутаторы.

Ряд сетевых коммутаторов имеют возможность настройки зеркал портов, чтобы весь трафик (независимо от места назначения) копировался или «зеркалировался» на назначенный порт. Если бы вы могли настроить свой коммутатор для этого, то вы могли бы присоединить свой сетевой анализатор здесь.