¿Es probable que una actividad de red sospechosa sea causada por un rootkit?

1

Netstat ha sido una de mis herramientas favoritas para detectar posibles conexiones maliciosas, pero luego me enteré de los peligros de los rootkits y su alta complejidad, lo que les permite evitar el software antivirus e incluso muchos detectores anti-rootkit. .

Hoy noté que mi conexión a Internet era lenta. A pesar de que estoy conectado con DSL, cable y 3G, los tres probé con lentitud cuando hice la prueba, por lo que decidí revisar mi red en mi camino.

La única herramienta que detectó una actividad sospechosa de mi red fue mi enrutador, una barata, DIR-300. Intenté recopilar información de cuatro fuentes posibles como se muestra en esta captura de pantalla enlace .

  1. Primera página: página de actividad de sesión de puerta de enlace.

  2. Segunda página: resultados de búsqueda inversa de la dirección IP: ¿Verizon ??? No creo que sea utilizando cualquiera de sus servicios, y para empeorar las cosas, en PORT 11106, también conocido como servicio de licencias SGI LK.

  3. Tercera página: no se encuentra nada en Wireshark para ese puerto.

  4. Cuarta página: NMAP con Backtrack ejecutándose en VMware.

¿Estoy tomando la ruta equivocada para averiguar qué está causando este tráfico?

¿Cuál es la forma más efectiva de controlar la actividad de conexión maliciosa en mi red?

¿Es posible saber cuántos paquetes se reciben y envían desde una determinada conexión TCP en mi enrutador?

    
pregunta Daniel 21.01.2013 - 00:29
fuente

1 respuesta

1
  

¿Cuál es la forma más efectiva de controlar la actividad de conexión maliciosa en mi red?

Wireshark es realmente la mejor manera de inspeccionar los paquetes que busca. Si hubiera un kit de raíz que se escondía del wirehark (posible pero muy improbable), podría configurar la máquina con otra máquina y el hombre en el medio, la máquina sospechosa con envenenamiento de arp entre la máquina Supect y su puerta de enlace.

  

¿Es posible saber cuántos paquetes se reciben y envían desde una determinada conexión TCP en mi enrutador?

No desde su enrutador, revise el manual del usuario Puede usar ntop para ver esa información.

    
respondido por el Daniel Wozniak 21.01.2013 - 00:55
fuente

Lea otras preguntas en las etiquetas