Задать вопрос
caramingo
@caramingo
админ из русского манчестера

Чем следить, детектить подозрительный трафик?

Офис примерно 80 компов, отделы разложены по виланам. На большинстве компов 10-ка но есть старые ноуты где еще 7-ка. Нормальный антивирус редкое явление. На это неделе провайдер дважды блокировал наш офисный IP из за подозрительно трафика.

Пообщавшись с тех поддержкой мне сказали по каким портам активность. Начал "снифить" сеть tcpdamp'om И действительно нашел зараженный ноут с которого в интернет постоянно идут запросы на порты 22, 8728 и 8291 на разные апишники.

Весь офис выходит в интернет через шлюз - обычный сервер с FreeBSD 11.4 На фряхе в качестве фаерволла - Packet Filter (PF)

Подскажите чем можно отслеживать, детектировать подобный трафик? И как вообще за этим следить?
  • Вопрос задан
  • 440 просмотров
Подписаться 1 Средний 2 комментария
Пригласить эксперта
Ответы на вопрос 2
fox_12
@fox_12
Расставляю биты, управляю заряженными частицами
Ответ написан
Комментировать
Protos
@Protos
Спрашивай - отвечу
Решения класса EDR
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы