トロイの木馬とワームはネットワークセキュリティにとって、2つの主要な脅威であります。トロイの木馬は具体的に何であるかご存知ですか。ウィキペディアでは、トロイの木馬はハッカーがターゲットコンピュータシステムにリモートアクセスできるように設計されています。トロイの木馬は一旦ターゲットコンピュータにインストールされると、ハッカーはリモートでそのコンピュータにアクセスでし、様々なオペレーションを実行することができます。
ハッカーにデータを送信する必要があるため、ほとんどすべてのトロイの木馬やワームは、ネットワークへのアクセスが必要です。有用なデータがアタッカーへ送信されない限り、トロイの木馬はその使命を達成しません。従って、トラフィック解析とプロトコル解析のテクノロジーの面から始まるのはいい解決案に導きます。我々はネットワークアナライザー - Colasoft Capsaでトロイの木馬とワームを検出します。Capsaは使いやすくて、直観的なネットワークアナライザーであり、ネットワークにトロイの木馬の活動があるかどうかをチェックするために、十分な情報を提供しています。この記事ではトロイの木馬とワームの検出方法を紹介します。
LANネットワークにトロイの木馬とワームを追跡する五つのソリューション
ソリューション1:概要タブ
TCP統計に注目してください。TCP同期送信の数量はTCP送信同期確認の数量よりはるかに大きくなっている時、我々は注意すべきです。なぜなら、一般的に、この二つの数の比率はほぼ1:1に等しいからです。トロイの木馬とワームはいつも大量のTCP SYNパケットをネットワークに送信し、別のマシンと接続を確立しようとします。接続が確立されると、トロイの木馬とワームはターゲットマシンに侵入しようとします。
ソリューション2:IPエンドポイントタブ
送信パケット、受信パケットまたはIP会話のコラムヘッダーをクリックすることで、行を並べ替えることができます。大きな統計量を持つノードに注意してください。これはBitTorrentのダウンロードである可能性がありますが、トロイの木馬とワームは間違いなく大量のパケットを送信しますので、その可能性もあります。
ソリューション3:ログタブ
DNSログに注目してください。Googleでトロイの木馬のターゲットウェブサイトのリストを作ることができます。たとえば、*****.3322.orgのようなウェブサイトなど。さらに、DNSログを保存し、トロイの木馬のキーワードのフィルターを使用して解析することができます。
ソリューション4:フィルターを使用する
トロイの木馬とワームのパターンを有するフィルタールールを作成してください
トロイの木馬とワームはパケットを送信すると、我々はそれらの活動を把握できます。この方法はデメリットがあり、新型のトロイの木馬とワームの活動をモニタできません。
ソリューション5:TCPセッションタブとUDPセッションタブ
ネットワーク内でトロイの木馬またはワームの活動は発見された時、ノードブラウザにマシンのIPアドレスをロケートし、TCP会話またはUDP会話をチェックすることができます。TCPセッションタブで、データフローサブタブに(TCPセッションはデータサブタブ付き)、通信の再構成されたデータを読み取ることができます。会話がシステム情報を送信している場合は、トロイの木馬とワームの活動に注意しなければなりません。
上記は、Capsaネットワークアナライザーの機能タブで、ネットワーク問題またはボトルネックを検出するためによく利用されています。さらに、時間をかけて、Executor:80とUltors Trojan:1234のようなトロイの木馬とワームによく利用されているポートの関連情報を勉強すると、ネットワークのトラブルシューティングと分析を行う際に、我々もこれらのポートとの間でパケットを送受信しているノードに注意を払う必要があります。
Copyright © 2001 - 2016 Colasoft LLC. All rights reserved.