У нас есть сеть из примерно 40 машин, работающих под управлением Win XP или 7 в нашем офисе, через коммутаторы LAN в 1 маршрутизатор Netgear (WNDR3700). Недавно мы заметили, что наша локальная сеть была добавлена в CBL Черный список из-за того, что одна из наших машин заражена Торпиг.
Я попытался использовать утилиту Kaspersky TDSSKiller Antirootkit Utility, чтобы найти зараженную машину, но все оказалось ясно.
Регистр CBL рекомендует найти локальную машину, которая подключена к удаленному IP-адресу (диапазон предоставлен CBL). Однако наш маршрутизатор не имеет возможности блокировать удаленные IP-адреса - знает ли кто-нибудь о программном обеспечении, которое может регистрировать весь интернет-трафик, который мы затем можем использовать для поиска зараженной машины.
Из-за того, что у вас есть такой мерзкий дешевый маршрутизатор, вы не сможете сделать что-то действительно умное.
Если ваш коммутатор локальной сети в порядке, вы можете SPAN / зеркалировать порт восходящей связи на другой порт, подключить к нему компьютер с wirehark и, надеюсь, перехватить трафик.
Есть один возможный вариант, если ваш коммутатор не поддерживает порты SPAN / Mirror. Когда вы перегружаете таблицу адресов ARP и фактически превращаете коммутатор в концентратор. Это называется Атака отравления ARP.
Если бы у вас был Linux-бокс с двумя сетевыми адаптерами, вы могли бы поместить его между маршрутизатором и коммутатором, фактически как другой маршрутизатор, но с запуском wirehark / tcpdump и захватом всего трафика, проходящего через ваши интерфейсы.