通过远程 IP 记录办公网络互联网流量的最佳方式

通过远程 IP 记录办公网络互联网流量的最佳方式

我们办公室的网络由大约 40 台运行 Win XP 或 7 的计算机组成,这些计算机通过 LAN 交换机连接到 1 个 Netgear 路由器 (WNDR3700)。我们最近注意到,我们的本地网络已添加到CBL 黑名单由于我们的一台机器感染了托尔猪

我曾尝试使用卡巴斯基的 TDSSKiller Antirootkit 实用程序来查找受感染的机器,但一切似乎都很清楚。

CBL 注册建议查找连接到远程 IP 地址的本地计算机(CBL 已提供范围)。但是,我们的路由器没有阻止远程 IP 地址的能力 - 有谁知道有哪种软件可以记录所有互联网流量,然后我们可以使用它来查找受感染的机器。

答案1

因为你拥有如此低劣的廉价专业消费者路由器,所以你将无法做任何真正聪明的事情。

如果您的 LAN 交换机足够正常,您可以将上行链路端口 SPAN/镜像到另一个端口,在那里连接一台装有 wireshark 的 PC,并希望捕获流量。

如果您的交换机不支持 SPAN/Mirror 端口,则有一个可能的选择。您可以重载 ARP 地址表,并有效地将交换机变成集线器。这称为ARP 中毒攻击。

如果您有一个带有 2 个 NIC 的 Linux 机器,您可以将其放在路由器和交换机之间,实际上就像另一个路由器一样,但运行 wireshark/tcpdump,并捕获通过接口的所有流量。

相关内容