システムをネットワークに接続し、ウイルス/スパイウェア関連のトラフィックを盗聴するにはどうすればよいですか?ネットワークケーブルを接続し、適切なツールを起動して、データをスキャンして問題の兆候がないか確認します。私はこれがすべてを見つけることを期待していません、そしてこれは最初の感染を防ぐためではなく、他のシステムに積極的に感染しようとしている/ネットワークの問題を引き起こしている何かがあるかどうかを判断するのに役立ちます。
通常のネットワークスニファを実行して結果を手動で確認することは、トラフィックが本当に明白でない限り適切ではありませんが、ネットワークデータストリームを自動的にスキャンするツールを見つけることができませんでした。
ネットワークのコアに近いマシンでSnortを実行し、コアネットワークパスに沿った場所から問題のマシンまで1つ(または複数)のポートをスパン(ミラーリング)することを強くお勧めします。
Snortには、検出したネットワークトラフィックをスキャンし、疑わしいものが検出された場合にさまざまな方法で自動的に通知する機能があります。必要に応じて、何かが見つかった場合にデバイスなどを自動的に切断するために、これをさらに実行することもできます。
snortを使用する:オープンソースのネットワーク侵入防止および検出システム。
Wiresharkは、以前はetherealでしたが、優れたツールですが、通知したり、ウイルスをスキャンしたりすることはありません。Wiresharkは、無料のパケットスニファおよびプロトコルアナライザです。
netstat -bコマンドを使用して、どのプロセスでどのポートが開いているかを確認します。
CPortsを使用して、ポートと関連プログラムのリストを表示し、それらのポートを閉じることができます。
無料のAVGなどの無料のウイルス対策プログラムをダウンロードします。
ファイアウォールをより厳密に設定します。
すべてのネットワークトラフィックを通過させるようにゲートウェイコンピュータを設定します。代わりに、ゲートウェイコンピュータに上記の推奨事項を適用してください。1台のコンピューターだけでなく、ネットワーク全体をチェックします。
Snortにウイルスのトラフィックをスキャンさせることができます。これがあなたにとって最良の解決策になると思います。
ローカルネットワークトラフィックを監視するための最善の策(適切なスイッチを使用)は、すべてのパケットを特定のインターフェイス(および通常送信するインターフェイス)からルーティングするようにスイッチを設定することです。これにより、特定のポートにトラフィックをダンプすることにより、ネットワーク全体を監視できます。
ただし、100メガビットのネットワークでは、スイッチにギガビットポートを接続して、プロトコル(HTTP、FTP、印刷、ファイルサーバーからのトラフィックなどを削除するなど)またはスイッチでフィルタリングする必要があります。バッファはほぼ瞬時にいっぱいになり、必要なパケットをすべてドロップし始めます(そしてネットワークパフォーマンスが低下します)。
このアプローチの問題は、今日のほとんどのネットワークがハブではなくスイッチ上にあることです。したがって、パケットスニファを備えたマシンをスイッチに接続すると、スニファマシンとの間のトラフィックのみを確認できます。とネットワーク放送。
Network Magic、オープンソースではないものが気にならない場合。
Ferruccio のコメントへのフォローアップとして、スイッチを回避する方法を見つける必要があります。
多くのネットワーク スイッチにはポート ミラーを設定するオプションがあり、すべてのトラフィック (宛先に関係なく) が指定されたポートにコピーまたは「ミラーリング」されます。これを行うようにスイッチを構成できれば、ネットワーク スニファをここに接続できます。
IDS、ハードウェア、またはソフトウェアを使用できます http://en.wikipedia.org/wiki/Intrusion-detection_system