刚拿到filter，正好有人中毒了，赶紧上马演练一下。

[ 本帖最后由 fishyxq 于 2008-5-12 18:42 编辑 ]

哇,太好了!samenlia真是太棒了,我看了你抓的包,默认就用etherpeek打开了,然后select macths,果然全都是!

赶快共享一下经验好吗?

楼上过奖了，我的做法是：
1、到官方网站下载那5个filter，本论坛也提供了
2、解压，然后导入到NX的filter列表里
3、因我们的网络是一个比较大的园区网，我只检测了其中一个网段，因此就通过端口镜像将该vlan 的流量镜像到一个100M电口，然后将装有NX的笔记本接到该端口上
4、运行NX，新建一个捕获，转到filter列表，勾选导入的5个病毒filter，然后开始捕获
5、如果网段中有病毒发作，就可以看到抓的包了，然后根据抓到的IP、MAC等对照该网段使用人员的计算机信息列表，就可以确定是哪些人员的计算机中毒，通知他们进行打补丁、杀毒处理。

官方网站还提供了一个插件，专门检测msblaster病毒的，并且可以列出感染的计算机列表，不过配置稍显麻烦，还是直接抓包简单。

补充一点，就是抓包的时候最好关闭计算机上的防火墙（假如安装了的话），不然可能会影响抓包结果。当然如果对自己计算机的抗毒能力没信心，那就开着好了。

好的， 太谢谢你了!我没有成功的原因是没有做交换机端口镜像!

嘿嘿 我也是这么弄得 etherpeek的过滤好像没有sniffer多啊

引用:

Originally posted by dontcry at 2005-4-21 12:45 PM:
嘿嘿 我也是这么弄得 etherpeek的过滤好像没有sniffer多啊

不会吧，etherpeek NX的过滤器是很强的，强到可以做成flow chart，类似写程序一样，你是否设置不对呀。

能在这方面都写一些东西吗？好想学习啊！万分感谢！

101 111  gui

引用:

原帖由 haiwanxue 于 2005-4-20 22:44 发表
哇,太好了!samenlia真是太棒了,我看了你抓的包,默认就用etherpeek打开了,然后select macths,果然全都是!

赶快共享一下经验好吗?

请问这位大虾!! 你怎么知道全是病毒?我也下载来看.没有你说的select match这个选项啊.能不能贴个图来????
谢谢...

大虾没在了吗

怎么了没人试过吗???小弟怎么试也没试出来呀

郁闷啊。。。。有病毒的

谢谢搂主 !    学习一下！！

能否给个连接~