Networking 嗅探网络流量是否有病毒/间谍软件迹象

如何将系统连接到网络并嗅探与病毒/间谍软件相关的流量？我想插上一根网线，启动一个合适的工具，让它扫描数据，寻找任何问题的迹象。我不希望这一切都能发现，这不是为了防止最初的感染，而是为了帮助确定是否有任何东西试图主动感染其他系统/导致网络问题

---

除非流量非常明显，否则运行常规网络嗅探器并手动查看结果是不好的，但我无法找到任何工具来自动扫描网络数据流。

您可以对流量进行病毒扫描。我认为这将是最适合您的解决方案。

我强烈建议您在网络核心附近的某台机器上运行，并从核心网络路径的某个位置跨（镜像）一个（或多个）端口到相关机器

Snort能够扫描它所看到的网络流量，并在发现可疑内容时通过各种方法自动通知您。如果需要的话，这甚至可以进一步，自动断开设备，等等，如果它发现了什么

用途：一个开源的网络入侵预防和检测系统

，以前ethereal是一个很好的工具，但不会通知您或扫描病毒。Wireshark是一款免费的数据包嗅探器和协议分析器

使用netstat-b命令查看哪些进程打开了哪些端口

用于查看端口和关联程序的列表，并能够关闭这些端口

下载免费的防病毒程序，如

更紧密地设置防火墙

设置网关计算机以允许所有网络流量通过。将以上建议改为网关计算机。您将检查整个网络，而不仅仅是一台计算机

---

这种方法的问题在于，今天的大多数网络都在交换机上，而不是集线器上。因此，如果您将带有数据包嗅探器的机器插入交换机，它将只能看到进出嗅探器的流量；和网络广播。

作为评论的后续内容，您需要找到一些绕过交换机的方法

---

许多网络交换机都可以选择设置端口镜像，以便将所有流量（无论目的地为何）复制或“镜像”到指定端口。如果您可以将交换机配置为执行此操作，则可以在此处连接网络嗅探器。

要监视本地网络流量，最好（使用合适的交换机）将交换机设置为将所有数据包路由到特定接口（以及它通常发送的任何接口）。这使您可以通过将通信量转储到特定端口来监视整个网络

---

然而，在一个100兆位的网络上，你需要在你的交换机上有一个千兆位的端口来插入它，或者根据协议进行过滤（例如，删除HTTP、FTP、打印、来自文件服务器的流量等等），否则你的交换机的缓冲区会很快填满，它会开始丢弃它需要的任何数据包（你的网络性能也会下降）。

如果你不介意非开源的东西。

你可以使用IDS、硬件或软件

---

跨越（镜像）一个主要主干电路解决了这个问题。不管它是否是交换机。我不知道。你需要什么样的硬件才能让它工作？它都在交换机中吗？是的，它是交换机的一个功能。大多数现代的管理（而不是“哑”）交换机具有这种功能。因此，只要您使用的是托管交换机，IT部门会允许您触摸它，这就可以工作。我希望任何人至少以某种形式提出这个问题，负责网络，或与负责网络的人一起工作。ID/安全性通常与维护网络密切相关工作：）