total saber que online eliminarlo ejemplos detectar como archivo antispyware networking sysadmin virus sniffing spyware

networking - saber - Detectar el tráfico de la red en busca de virus/spyware



spyware como eliminarlo (8)

¿Cómo puedo conectar un sistema a una red y detectar el tráfico relacionado con virus / spyware? Me gustaría conectar un cable de red, encender una herramienta adecuada y hacer que escanee los datos para detectar cualquier signo de problemas. No espero que esto lo encuentre todo, y esto no es para prevenir una infección inicial, sino para ayudar a determinar si hay algo que intente infectar activamente otro sistema o causar problemas de red.

Ejecutar un rastreador de red habitual y examinar manualmente los resultados no es bueno a menos que el tráfico sea realmente obvio, pero no he podido encontrar ninguna herramienta para escanear automáticamente una secuencia de datos de red.

  1. Use snort : un sistema de prevención y detección de intrusión de red de código abierto.

  2. Wireshark , anteriormente etéreo, es una gran herramienta, pero no lo notificará ni buscará virus. Wireshark es un analizador de protocolo y analizador de paquetes gratuito.

  3. Use el comando netstat -b para ver qué procesos tienen qué puertos abrir.

  4. Use CPorts para ver una lista de puertos y los programas asociados, y tenga la capacidad de cerrar esos puertos.

  5. Descargue un programa antivirus gratuito , como AVG gratuito .

  6. Configure su firewall más estrechamente.

  7. Configure una computadora de puerta de enlace para permitir el paso del tráfico de la red. Tome las recomendaciones anteriores a la computadora de la puerta de enlace en su lugar. Verificará toda su red en lugar de solo su única computadora.

Como seguimiento al comentario de Ferruccio, necesitará encontrar algún método para evitar los cambios.

Varios conmutadores de red tienen la opción de configurar duplicaciones de puertos, de modo que todo el tráfico (independientemente del destino) se copie, o "refleje", a un puerto designado. Si pudieras configurar tu interruptor para hacer esto, entonces podrías adjuntar tu sniffer de red aquí.

El problema con ese enfoque es que la mayoría de las redes actuales están en switches, no en hubs. Por lo tanto, si conecta una máquina con un detector de paquetes en el interruptor, solo podrá ver el tráfico hacia y desde la máquina detectora; y transmisiones de red.

Para ver el tráfico de la red local, la mejor opción (con un interruptor decente) es configurar el interruptor para enrutar todos los paquetes a una interfaz específica (así como a la interfaz que normalmente enviaría). Esto le permite controlar toda la red al descargar tráfico en un puerto específico.

Sin embargo, en una red de 100 megabits, querrá un puerto gigabit en su conmutador para conectarlo, o para filtrar el protocolo (por ejemplo, recortar HTTP, FTP, imprimir, el tráfico desde el servidor de archivos, etc.), o su switch los búferes se llenarán casi instantáneamente y empezará a eliminar los paquetes que necesite (y el rendimiento de la red morirá).

Puede hacer que Snort explore el tráfico en busca de virus. Creo que esta será la mejor solución para ti.

Recomiendo ejecutar Snort en una máquina en algún lugar cerca del núcleo de su red, y extender (reflejar) uno (o más) puertos desde algún lugar a lo largo de la ruta de su red central a la máquina en cuestión.

Snort tiene la capacidad de escanear el tráfico de red que ve, y automáticamente le notifica a través de varios métodos si ve algo sospechoso. Esto podría incluso tomarse más, si se desea, para desconectar dispositivos automáticamente, etc., si encuentra algo.

Network Magic , si no te importa algo que no sea de código abierto.