Door Anoniem: We hebben op het werk
Een pc met een virus. Deze maakt verbinding met een iprange waar ik dus op wil monitoren om die pc te vinden. Want anders moet ik 75 pc na lopen en hopen dat virusscanner deze rootkit Trojan vindt.
Hoe weet je eigenlijk dat je dat hebt, als je niet weet op welke PC het zit ?
Heb je een klacht van je ISP gekregen, en moet je nu uitzoeken welke interne PC naar een bepaald adres gegaan is?
Niet om je _al_ te hard af te zeiken, maar een IT'er die verantwoordelijk is voor 75 werkplekken zou toch eigenlijk genoeg kennis moeten hebben om dit niet te hoeven vragen. Ik zou je aanraden om je er wat meer in te verdiepen, want dit is het soort problemen wat je als KA beheerder voor je kiezen kunt krijgen en moet kunnen oplossen.
Hopelijk heeft je gateway/router/firewall genoeg mogelijkheden om te loggen/filteren welke PC verbinding maakt met een bepaalde reeks.
Als je een sniffer (bijvoorbeeld wireshark) aansluit op je interne switch kun je ook zoeken naar verkeer wat met die bepaalde IP reeks gemaakt wordt.
Bij de meeste managed switches kun je sniffen. Dat heet een SPAN poort, of een monitor poort meestal in de handleiding van de switches. Je kopieert dan verkeer van een poort ook naar een speciale poort waar je sniffer op is aangesloten.
Overigens kun je beter _toch_ al je PC's nalopen met een (andere?) virusscanner. Gezien je vraag heb je dit probleem niet zelf ontdekt, en je weet dus niet of de andere PC's wel schoon zijn.