Задать вопрос
caramingo
@caramingo
админ из русского манчестера

Чем следить, детектить подозрительный трафик?

Офис примерно 80 компов, отделы разложены по виланам. На большинстве компов 10-ка но есть старые ноуты где еще 7-ка. Нормальный антивирус редкое явление. На это неделе провайдер дважды блокировал наш офисный IP из за подозрительно трафика.

Пообщавшись с тех поддержкой мне сказали по каким портам активность. Начал "снифить" сеть tcpdamp'om И действительно нашел зараженный ноут с которого в интернет постоянно идут запросы на порты 22, 8728 и 8291 на разные апишники.

Весь офис выходит в интернет через шлюз - обычный сервер с FreeBSD 11.4 На фряхе в качестве фаерволла - Packet Filter (PF)

Подскажите чем можно отслеживать, детектировать подобный трафик? И как вообще за этим следить?
  • Вопрос задан
  • 462 просмотра
Подписаться 1 Средний 2 комментария
Помогут разобраться в теме Все курсы
  • Яндекс Практикум
    Python-разработчик
    10 месяцев
    Далее
  • Skillfactory
    DevOps-инженер
    6 месяцев
    Далее
  • Хекслет
    Фронтенд-разработчик
    10 месяцев
    Далее
Пригласить эксперта
Ответы на вопрос 2
fox_12
@fox_12
Расставляю биты, управляю заряженными частицами
Ответ написан
Комментировать
Protos
@Protos
Спрашивай - отвечу
Решения класса EDR
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы