能力值:
( LV2,RANK:10 )
|
-
-
2 楼
通过交换机来检测啊 ~
这貌似很麻烦 数据量这么大 要么你只分析对外的ip
一般这样的木马平常的数据量不是很大的 检测时候把数据量在缩小点
还有一些木马的常用端口
其他的就不太了解了 具体什么设备什么的 看看楼下的怎么说啊 ~
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
不是哦 不是通过交换机来检测 是在交换机补一个抓包的设备来抓取~
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
求指教啊~~
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
看雪的大牛们啊~~~
|
能力值:
( LV3,RANK:30 )
|
-
-
6 楼
Wireshark 设置条件
|
能力值:
( LV12,RANK:230 )
|
-
-
7 楼
设置Wireshark过滤条件,ip.addr == 木马发送数据的ip
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
您好 请问Wireshark是软件还是设备呢? 假如是软件我怎么让才可以让这个工具抓取整个网络环境中的流量数据啊?小弟不是太懂 请多指教哈~
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
可是我只知道局域网内有台机器中了木马 具体是那台不清楚啊
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
来大牛吧~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
问题是定时反向连接的都是木马吗???
|
能力值:
( LV3,RANK:30 )
|
-
-
12 楼
可以设定条件,心跳包很小的,每天要固定向同一个IP发送,如果连续几天向同一个IP发送就是怀疑对象了,不知道现在还会不会自动获取主机的动态IP了
|
能力值:
( LV15,RANK:880 )
|
-
-
13 楼
这个方法不是十分现实,如果网络数据量太大的话。wireshark在开始一段时间后会因为磁盘空间不足而挂掉。另外检测心跳包的方式虽然可行,但是对于数据量大的复杂网络环境可操作性并不是十分好。如果想要抓取数据只需要将你的中断接到交换机的镜像端口上就可以捕获到所有的数据了。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
采用wireshark(是一个软件)不现实,如果你要自己写程序的可以采用winpcap的驱动,google可以搜索到很多,就是接收镜像数据的驱动,你自己可以开发代码,对接收的数据进行条件设置既可以,同时边处理边删除数据,或者全部数据都在内存中处理。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
这个不一定是 但是我可以将定时连接的查出来 然后进行分析啊 这样可以将范围缩小
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
我也是这么想的 但是不知道有没有软件或者硬件可以实现 因为要单纯的抓包话 数据会很多 不好分辨
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
对啊 我想的是有没有专门的设备可以做到设置规则抓取数据包 然后分析 但是我总感觉这个方法要是没这种工具或者设备的话实现有点困难 数据太多了 没法分析 请问您还有其它的方法吗
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
这个太困难的 我的技术还不到家呢 写不出来 谢谢您哦~ 您还有其它能检测的方法吗?求指教~谢谢您了~
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
谢谢各位楼上的大牛们指教~ 小弟在此先感谢~ 然后求各位继续指教下~ 这个问题实在让我头疼~
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
同样遇到这种问题,局域网内N多毒,只要不拖慢网速,不影响正常运转,一律不去查,累,
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
本机抓是抓不到的,
你得在网关抓,或者用arp欺骗来抓,不过arp欺骗不稳定。
网关抓的话,不会,可能有的路由提供抓包的功能。
你问问搞网络的,怎么抓出口的包。
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
基于行为分析的木马检测虽然是在检测未知木马的有效途径,但很难做到精确,况且在实现是要考虑多个维度,比如说端口,ip,数据包内容,数据包大小,数据包间的关联性等等。建议还是要基于已有木马样本进行特征及行为的分析,在配合黑白名单机制,就应该效果不错了
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
这个在交换机把流量镜像出来提取特征进行时时捕获心跳..
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
可是终端到交换机的流量很大的话 那么几个心跳包如何才能准确的检测出来哦~
|
|
|