Wyczerpywanie ruchu sieciowego pod kątem wirusów/oprogramowania szpiegującego

Question

Jak mogę podłączyć system do sieci i wykrywać ruch związany z wirusami i programami szpiegującymi? Chciałbym podłączyć kabel sieciowy, uruchomić odpowiednie narzędzie, a następnie przeskanować dane pod kątem jakichkolwiek oznak problemów. Nie spodziewam się, że to wszystko znajdzie, a to nie ma zapobiec początkowej infekcji, ale pomóc w ustaleniu, czy jest coś, co próbuje aktywnie infekować inny system/powodując problemy z siecią.

Uruchomienie zwykłego sniffera sieciowego i ręczne przeglądanie wyników nie jest dobre, chyba że ruch jest naprawdę oczywisty, ale nie znalazłem żadnego narzędzia do automatycznego skanowania sieciowego strumienia danych.

Answer 1

Bardzo polecam uruchamianie Snort na maszynie gdzieś w pobliżu rdzenia twojej sieci i rozpinanie (odbijanie) jednego (lub więcej) portów od gdzieś wzdłuż twojej ścieżki sieci rdzeniowej do maszyny, o której mowa.

Snort może skanować ruch sieciowy, który widzi, i automatycznie powiadamia Cię za pomocą różnych metod, jeśli zobaczy coś podejrzanego. W razie potrzeby można by to zrobić jeszcze dalej, aby automatycznie rozłączyć urządzenia, i tak dalej, jeśli coś znajdzie.

Answer 2

Możesz wykonać ruch skanowania w poszukiwaniu wirusów Snort. Myślę, że to będzie najlepsze rozwiązanie dla ciebie.

Answer 3

1. snort Zastosowanie: Sieć open source zapobiegania włamaniom oraz system detekcji.

2. Wireshark, dawniej eteryczny jest doskonałym narzędziem, ale nie będzie powiadamiał użytkownika ani skanował w poszukiwaniu wirusów. Wireshark to darmowy program sniffer i analizator protokołów.

3. Użyj komendy netstat -b, aby zobaczyć, które procesy mają otwarte porty.

4. Użyj CPorts, aby wyświetlić listę portów i powiązanych programów, i mieć możliwość zamknięcia tych portów.

5. Pobierz darmowy program antywirusowy, taki jak free AVG.

6. Skonfiguruj ściankę ogniową ściślej.

7. Skonfiguruj komputer bramy, aby przepuścić cały ruch sieciowy. Pobierz powyższe zalecenia do komputera bramy. Będziesz sprawdzał całą sieć zamiast tylko jednego komputera.

Answer 4

Problem z tym podejściem polega na tym, że większość dzisiejszych sieci działa na przełącznikach, a nie na koncentratorach. Tak więc, jeśli włączysz maszynę z snifferem pakietów do przełącznika, będzie on w stanie zobaczyć ruch do i od urządzenia do podsłuchiwania; i transmisje sieciowe.

Answer 5

W odpowiedzi na komentarz Ferruccio's trzeba znaleźć sposób na obejście przełączników.

Wiele przełączników sieciowych ma opcję konfigurowania serwerów lustrzanych, dzięki czemu cały ruch (niezależnie od miejsca docelowego) zostanie skopiowany lub "dublowany" do wybranego portu. Jeśli mógłbyś skonfigurować swój przełącznik, aby to zrobić, mógłbyś tutaj podłączyć swój sniffer sieciowy.

Answer 6

Do oglądania lokalnego ruchu sieciowego najlepszym rozwiązaniem (przy przyzwoitym przełączniku) jest ustawienie przełącznika tak, aby kierował wszystkie pakiety poza określony interfejs (a także jakikolwiek interfejs, który zwykle wysyłałby). Umożliwia to monitorowanie całej sieci poprzez zrzucanie ruchu w dół do określonego portu.

W sieci o przepustowości 100 megabitów potrzebujesz gigabitowego portu na przełączniku, aby go podłączyć lub filtrować protokół (np. Wyodrębnić HTTP, FTP, drukowanie, ruch z serwera plików itp.) albo bufory twojego przełącznika zapełnią się od razu i zaczną zrzucać wszystkie pakiety, których potrzebuje (a wydajność twojej sieci zginie).

Answer 7

Network Magic, jeśli nie masz nic przeciwko czemuś, co nie jest open source.

Answer 8

Można używać identyfikatorów sprzętu lub oprogramowania http://en.wikipedia.org/wiki/Intrusion-detection_system