Voglio analizzare il mio traffico di rete contro intrusioni o hacker. Ho guardato Snort ma sembra difficile da installare su Windows e comunque troppo complesso.
Quando emetto un netstat -a , vedo varie connessioni da indirizzi IP sconosciuti, ma non ho idea di come capire cosa sono e se rappresentano un pericolo.
È disponibile uno strumento facile per Windows?
In realtà può essere abbastanza difficile farlo, a seconda del numero di software installati e in esecuzione sul tuo sistema poiché un sacco di software legittimo effettuerà le connessioni a Internet senza che tu lo avvisi esplicitamente (tutto da Dropbox a spotify a ...).
Anche la maggior parte dei siti Web oggigiorno utilizza CDN per i contenuti, quindi effettuerà le connessioni a domini di terze parti mentre li stai utilizzando.
Se vuoi farlo, proverei a utilizzare qualcosa come tcpview da Microsoft SysInternals . È possibile interrompere temporaneamente tutti i programmi che si conoscono e quindi cercare di vedere quali connessioni sono ancora presenti e indagare su ciascuna di esse. netstat -anb può anche essere utile in quanto l'opzione -b fornisce alcune informazioni su quale programma sta effettuando la richiesta.
Netstat non è lo strumento da utilizzare per trovare traffico dannoso. I motivi sono:
Per questi motivi è meglio utilizzare l'analisi del traffico dalla rete utilizzando il mirroring delle porte, in quanto vedrai tutto il traffico. Per quanto riguarda gli strumenti da utilizzare per trovare il traffico dannoso, è necessario un IDS / IPS simile a snort.
Il fatto è che non è facile da fare, è difficile e richiede abilità. Ma se fosse stato facile, non avrebbero avuto bisogno di noi.