如何查出是那臺電腦中毒？

如何查出是那臺電腦中毒？
到iT邦幫忙

wenchan（iT邦初學者10級）發問：
收到Hinet寄來的訊息，通知內部主機xx.xx.xx.07有可疑的行為，不過這個IP是對外的IP，要如何知道是哪一臺電腦出問題？

zyman2008（iT邦初學者7級）：
從對外的NAT Gateway查，看內部哪個IP的Session數比較高，或是同一個內部IP對外連向一堆不同的Destination IP，這些連線行為都是比較可疑。

sbee727（iT邦初學者8級）：
我利用防火牆軟體，讓它針對區網所有的IP跟Port作記錄，目前發現除了病毒、木馬外，所有的IM軟體也會提高流量，所以你可以先請大家不要關掉IM軟體再觀察，應該可以查出發生問題的電腦。

lraychee（iT邦初學者9級）：
可以先從Router、IDS等有記錄連公司外網路的設備著手，看看哪一個IP連線資料較多，再進一步清查電腦是否有中毒的現象。

cklin（iT邦初學者8級）：
從Hinet提供的資訊裡，看到一個「XSS-script-method2」的線索，這是透過網頁攻擊的手法，因此可以找上網的流量記錄，如果有Proxy Server，就查Proxy記錄；如果有防火牆就監視80 Port。

另外，大部分的病毒／蠕蟲攻擊行為是透過網路掃描ARP方式，搜尋可攻擊的IP位址。因此在單位時間內封包數增長最快的就是「疑凶」。但是怎樣的增長量才是真正的兇手，就必須靠經驗的累積與敏感度。而且新一代的病毒攻擊行為，已經進化，不再採暴力發作擴散方式，這個數據的用途就有限了。

至於監控流量異常的方法，軟體的部分，可以試著用Sniffer類型的封包分析軟體來看，如Wireshark的Expert Info功能。硬體的部分，簡單的IDP/IDS都可以主動對異常的封包來發通知。

身為網管主動出擊的方式，可以建置一臺網路分析的主機來協助。另外網管工程師需要對SNMP（簡單網路管理協定）及Shell Script語法有所了解，利用Linux的Cron Job排定行程，透過Snmpget抓出每個設備、每個Port的Bcast、Rx、MIB等數值，加以運算比較，單位時間內若增長量超過限定數值，就發出郵件通知。