台眾電腦股份有限公司 | 產品資訊

首頁 > 產品資訊 > NetInsight 產品簡介 > NetInsight幫助您掌握您的網路

產品應用

網路型病毒及蠕蟲常利用TCP 445/9996/5554等port散播，可用Netinsight 2004觀察到在網路上的異常連線行為，再使用防毒軟體進行清除的動作。

觀察方式有兩種分別為：
(一)	進入連線統計 > 電腦連線統計 > 選擇連線數排行較高的IP > 選擇欲觀察的時段，進入後會顯示此時段內的連線情形，如發現有大量連續十多筆連線來源都呈現由此IP連續的來源PORT，目的則是不同IP的相同PORT如445，就有可能是網路型病毒正在發作。

(二)	2. 進入服務連線統計 > 選擇可疑的PORT > 選擇欲觀察的時段，如果在此時段內一樣呈現上述情形，一樣可以懷疑是病毒發作。至於哪種PORT可以歸類於可疑，那隻病毒常利用哪些PORT進行攻擊，以及發作時的行為模式，這些資訊則有賴於使用者平時的收集，或者是在防毒軟體通知中毒並執行清除動作後，如使用者仍懷疑是否有成功清除的話，Netinsight 2004可以觀察到毒發行為是否消失，防毒軟體是否真的運作成功，Netinsight 2004可以提供一種輔助觀察的功能。

所以使用方式應為：
知道你想看到的病毒連線行為模式 > 再比對Netinsight 2004是否有出現符合的行為。

點選沒有送信人後，進入觀察 SMTP 內部寄出去的郵件(依寄信人)看的狀況如下 hum83365@ms13.hinet.net 看到收件人是這封信件最為可疑

觀察是誰寄給內部的使用者，查看是否由外部寄進來的信件，還是Exchange 自動寄出。(查看外部電腦寄給內部)

同樣發現 hum83365@ms13.hinet.net

上圖中點選進入後，觀察這個寄信人，發現這個寄信者，使用字典工具，在偵測內部合法的使用者，來散發廣告信。

而正好有用戶被字典選擇到

解決方案：
(1)	所以在內部寄出了郵件中，出現了沒有送信人的狀況，是因為這些郵件都不是合法的用戶，所以 Exchange 出現了退信的動作，處理方式在Exchange 中封鎖了此寄信人。
(2)	而其他也出現的Mail帳號，同樣是屬於使用字典工具，在散佈廣告信，但是因為其方法較為不同，一次只針對內部合法帳號，做兩次或三次的掃描後，就換個帳號繼續做此動作，所以目前沒有較好的方式加以封鎖。
(3)	此Mail退信動作同樣也會使用到頻寬，若是出現大量退信的時候，需要正視。且有可能這些信件中包含了病毒碼，當信件打開時會有安全性的漏洞，不可輕忽。
(4)	可再觀察何種服務(應用程式)佔用大量的頻寬，從”網路流量 > 服務流量排行”如上所示 smtp所耗用的流量最大。