Обнаружение сетевого трафика на наличие вирусов и шпионских программ

Как я могу подключить систему к сети и анализировать трафик, связанный с вирусами и шпионским ПО? Я хотел бы подключить сетевой кабель, запустить соответствующий инструмент и просканировать его на наличие каких-либо признаков проблем. Я не ожидаю, что это все найдет, и это не для того, чтобы предотвратить первоначальное заражение, но чтобы помочь определить, есть ли что-то, что пытается активно заразить другую систему / вызывает сетевые проблемы.

Запуск обычного сетевого анализатора и ручной просмотр результатов не годится, если трафик не является действительно очевидным, но я не смог найти никакого инструмента для автоматического сканирования потока сетевых данных.

8 ответов

Решение

Я настоятельно рекомендую запустить Snort на машине, расположенной где-то рядом с ядром вашей сети, и проложить (отразить) один (или несколько) портов из какой-либо части пути базовой сети к рассматриваемой машине.

Snort имеет возможность сканировать сетевой трафик, который видит, и автоматически уведомлять вас различными способами, если обнаруживает что-то подозрительное. При желании это может быть предпринято дополнительно для автоматического отключения устройств и т. Д., Если они что-то обнаружат.

  1. Используйте snort: Система предотвращения и обнаружения вторжений в сеть с открытым исходным кодом.

  2. Wireshark, ранее существовавший в эфире, - отличный инструмент, но он не будет уведомлять вас или проверять на наличие вирусов. Wireshark - это бесплатный анализатор пакетов и анализатор протоколов.

  3. Используйте команду netstat -b, чтобы увидеть, какие процессы имеют какие порты открыты.

  4. Используйте CPorts, чтобы увидеть список портов и связанных с ними программ, и иметь возможность закрыть эти порты.

  5. Загрузите бесплатную антивирусную программу, например, бесплатную AVG.

  6. Настройте ваш брандмауэр более плотно.

  7. Настройте компьютер шлюза, чтобы пропускать весь сетевой трафик. Вместо этого перенесите приведенные выше рекомендации на компьютер шлюза. Вы будете проверять всю сеть, а не только один компьютер.

Вы можете заставить Snort сканировать трафик на наличие вирусов. Я думаю, что это будет лучшим решением для вас.

Для просмотра трафика локальной сети лучше всего (с приличным коммутатором) установить коммутатор для маршрутизации всех пакетов через определенный интерфейс (а также через любой интерфейс, который он обычно отправляет). Это позволяет вам контролировать всю сеть, сбрасывая трафик через определенный порт.

Однако в 100-мегабитной сети вам понадобится гигабитный порт на коммутаторе для его подключения или фильтрации по протоколу (например, обрезка HTTP, FTP, печать, трафик с файлового сервера и т. Д.) Или коммутатора. Буферы будут заполняться практически мгновенно, и он начнет отбрасывать все необходимые пакеты (и производительность вашей сети снизится).

Проблема такого подхода заключается в том, что большинство современных сетей работают на коммутаторах, а не на концентраторах. Таким образом, если вы подключите к коммутатору машину с перехватчиком пакетов, он сможет видеть только трафик к снифферу; и сетевые трансляции.

Вы можете использовать IDS, аппаратное или программное обеспечение http://en.wikipedia.org/wiki/Intrusion-detection_system

Как продолжение комментария Ферруччо, вам нужно будет найти способ обойти ваши переключатели.

Ряд сетевых коммутаторов имеют возможность настройки зеркал портов, чтобы весь трафик (независимо от места назначения) копировался или "зеркалировался" на назначенный порт. Если бы вы могли настроить свой коммутатор для этого, то вы могли бы присоединить свой сетевой анализатор здесь.

Network Magic, если вы не возражаете против чего-то, что не является открытым исходным кодом.

Другие вопросы по тегам