Обнаружение нештатной сетевой активности

Вирусная эпидемия или атака на информационную систему не возникает внезапно. Как правило этому предшествует некий период времени, характеризующийся нештатной сетевой активностью. Периодический анализ файлов протоколов систем и использование тех или иных обнаружителей сетевых атак могут предупредить администратора и дать возможность предпринять встречные шаги.

Хотя профессиональные программы обнаужения сетевых атак довольно дороги, требуют высокого уровня знания от администратора и обычно не используются в малых и средних предприятиях, администраторы довольно легко могут найти в интернете пакеты, которые позволяют прослушать активность на TCP/IP портах системы. Сам факт обнаружения активности на нестандартных портах уже может быть свидетельством нештатного поведения системы и косвенно свидетельствовать о наличии троянов.

Приведем несколько бесплатных программ для сканирования сети:

• nmap, Http://www.insecure.org/nmap (windows & Linux)
• NSAT, http://sourceforge.net/projects/nsat/ (linux)

Стоит отметить что преобладание Linux – версий объясняется большими возможностями настройки этой операционной системы на низком уровне по сравнению с Windows – вариантами.