Quiero analizar el tráfico de mi red contra intrusiones o piratas informáticos. Miré a Snort pero parece difícil de instalar en Windows y de todas formas es demasiado complejo.
Cuando emito un netstat -a , veo varias conexiones de direcciones IP desconocidas, pero no tengo idea de cómo averiguar cuáles son y si representan un peligro.
¿Hay alguna herramienta fácil disponible para Windows?
En realidad, puede ser bastante difícil hacer esto, dependiendo de la cantidad de piezas de software que tenga instaladas y en ejecución en su sistema, ya que una gran cantidad de software legítimo se conectará a Internet sin notificarlo explícitamente (todo de Dropbox a spotify a ...).
También la mayoría de los sitios web en estos días usan CDN para el contenido, por lo que realizarán conexiones a dominios de terceros mientras los esté usando.
Si desea hacer esto, intentaría usar algo como tcpview desde Microsoft SysInternals . Podría apagar temporalmente todos los programas que conoce y luego ver qué conexiones están en su lugar e investigar cada uno. netstat -anb también puede ser útil, ya que el interruptor -b proporciona información sobre qué programa realiza la solicitud.
Netstat no es la herramienta que se usa para encontrar tráfico malicioso. Las razones son:
Por estas razones, es mejor usar el análisis de tráfico de su red mediante la duplicación de puertos, ya que verá todo el tráfico. En cuanto a qué herramientas utilizar para encontrar tráfico malicioso, necesita un IDS / IPS como snort.
El hecho es que no es fácil de hacer, es difícil y requiere habilidad. Pero si fuera fácil no nos necesitarían.