Офис примерно 80 компов, отделы разложены по виланам. На большинстве компов 10-ка но есть старые ноуты где еще 7-ка. Нормальный антивирус редкое явление. На это неделе провайдер дважды блокировал наш офисный IP из за подозрительно трафика.
Пообщавшись с тех поддержкой мне сказали по каким портам активность. Начал "снифить" сеть tcpdamp'om И действительно нашел зараженный ноут с которого в интернет постоянно идут запросы на порты 22, 8728 и 8291 на разные апишники.
Весь офис выходит в интернет через шлюз - обычный сервер с FreeBSD 11.4 На фряхе в качестве фаерволла - Packet Filter (PF)
Подскажите чем можно отслеживать, детектировать подобный трафик? И как вообще за этим следить?
