Conexiones Raras a sitios malos
Publicado: 30 Mar 2022, 18:55
Hola, recientemente con ayuda de un consultor me ha creado una reglar que corta todo el trafico de mi LAN hacia internet mediante las categorias:
Botnet-C&C.Server
Malicious-Malicious.Server
Phishing-Phishing.Server
Proxy-Proxy.Server
VPN-Anonymizing.VPN.Server
Es decir todo lo que vaya a estas categorias lo corta.
Y al princpio parecia que todo estaba bien, 0 bytes de trafico.
Pero he descubierto que si ten 10, 12, 30 kb de trafico de salida intentando salir a diferentes IP y de diferentes PC.
Mirando "Matching log", veo ip origen, destino, fecha y hora. Y efectivamente cuando meto las ip de destino en virustotal.com se suele confirmar que son malotas.
¿Puedo capturar el contenido del paquete completo mediante alguna opción de sniffer?
Por qué quiero saber en el PC o PCs que hacen esto que ejecutable, servicios o aplicación hace este trafico.
Hoy lo he visto en un PC en el que he estado solo yo, haciendo updates de windows, adobe, chrome y poco mas.
Tampoco quiero montar un syslog y recoger todo el trafico ahi.
¿Alguna forma de auditar ese paquete o esos paquetes?
Botnet-C&C.Server
Malicious-Malicious.Server
Phishing-Phishing.Server
Proxy-Proxy.Server
VPN-Anonymizing.VPN.Server
Es decir todo lo que vaya a estas categorias lo corta.
Y al princpio parecia que todo estaba bien, 0 bytes de trafico.
Pero he descubierto que si ten 10, 12, 30 kb de trafico de salida intentando salir a diferentes IP y de diferentes PC.
Mirando "Matching log", veo ip origen, destino, fecha y hora. Y efectivamente cuando meto las ip de destino en virustotal.com se suele confirmar que son malotas.
¿Puedo capturar el contenido del paquete completo mediante alguna opción de sniffer?
Por qué quiero saber en el PC o PCs que hacen esto que ejecutable, servicios o aplicación hace este trafico.
Hoy lo he visto en un PC en el que he estado solo yo, haciendo updates de windows, adobe, chrome y poco mas.
Tampoco quiero montar un syslog y recoger todo el trafico ahi.
¿Alguna forma de auditar ese paquete o esos paquetes?