El vie, 18-09-2009 a las 10:54 -0300, Roberto Meyer escribió: > Estimados, > > Tanto Conficker y otros trojanos dando vueltas por las redes MS que > quisiera implementar un scanner de red para prevenir mejor futuras > infecciones, por lo general los antivirus reaccionan tarde. > > Veo que en los úlitmos años las reglas y plugins para nessus y otros > son pagas, ¿alguien podría recomendarme lo que considera la solución > más económica y completa posible?
La mayoria de estos virus escanean la red en busca de victimas. Si tu gateway es 192.168.1.1 y el 192.168.1.2 no existe, nadie tendria por qué apuntar ni buscar al 192.168.1.2 con: tshark -n -i ethloquesea host 192.168.1.2 and arp podrias ver las IPs que estan escaneando tu red. Todo lo que tenes que hacer es mandar la salida de eso a un grep, parsearlo en tiempo real y ejecutar algo.
