¿Qué herramientas de Linux puedo usar para analizar los paquetes de red generados por malware en una máquina con Windows en la misma red?

La pregunta es cómo encontrar qué máquina es la culpable, saltar al resoplido y ejecutar una identificación completa antes de que esta persona pueda caminar.

Por experiencia, así es como diagnostica problemas en redes más pequeñas: me temo que necesitará una buena base en cómo funcionan las redes Ethernet.

1 Encontrar al culpable

Si su enrutador tiene la funcionalidad, puede ver qué puerto de salida abre cada dirección IP: la máquina infectante normalmente abrirá muchos puertos de salida en comparación con una PC normal.

Si su enrutador / conmutador central no le permite hacer esto, debe colocar un toque de red para que pueda ver todo su tráfico saliente; básicamente, debe poner un TAP en su conexión saliente a Internet, algo como esto http: / /www.dual-comm.com/port-mi … unos 60 dólares o 150 por un gigabit.

A continuación, puede utilizar el cable de tiburón para registrar el tráfico y diagnosticar qué PC es el culpable

Algunos conmutadores administrados tienen esta funcionalidad incorporada.

http://wiki.wireshark.org/Captur …

Cubre cómo capturas.

2 Analizando la máquina infectada.

Como la gente ha dicho una vez que tiene el culpable, puede usar snort para resolver lo que está haciendo, o alternativamente simplemente limpiar la máquina o usar un AV para eliminar (si esto es posible)

En mi experiencia, sus portátiles de ventas son a menudo los culpables cuando se sacan y se conectan a cualquier red extranjera.

Estoy de acuerdo con Mike Miller. Snort es probablemente su mejor opción para hacer el tipo de análisis de tráfico que ayudaría a identificar el host infectado, así como la naturaleza de la fuga de información.

Otra opción sería utilizar Wireshark, pero las reglas de filtrado y reconocimiento de Snort están diseñadas teniendo en cuenta la identificación de malware. –Usar Wireshark sería tedioso.