如何将系统连接到网络并嗅探与病毒/间谍软件有关的流量？我想插入网络电缆，启动适当的工具沙，让其扫描数据以发现任何问题的迹象。我不希望这能找到所有内容，但这并不是为了防止最初的感染，而是要确定是否有任何事情试图主动感染其他系统/引起网络问题。

除非流量确实很明显，否则运行常规的网络嗅探器并手动查看结果是不好的，但是我找不到能够自动扫描网络数据流的工具。

解决方案

我们可以使Snort扫描通信中是否有病毒。我认为这将是最适合解决方案。

我强烈建议我们在网络核心附近的计算机上运行Snort，并从核心网络路径中的某个位置跨越(镜像)一个(或者多个)端口到相关计算机。

Snort可以扫描看到的网络流量，并在发现可疑内容时通过各种方法自动通知我们。如果需要，甚至可以采取进一步措施，以在发现某物后自动断开设备等。

• Use snort：一种开源网络入侵防御和检测系统。
• Wireshark，以前很轻巧，是个不错的工具，但不会通知我们或者扫描病毒。 Wireshark是一个免费的数据包嗅探器和协议分析器。
• 使用netstat -b命令查看哪些进程打开了哪些端口。
• 使用CPorts可以查看端口和关联程序的列表，并可以关闭这些端口。
• 下载免费的防病毒程序，例如免费的AVG。
• 更紧密地设置防火墙。
• 设置网关计算机以使所有网络流量通过。而是将上述建议带到网关计算机。我们将检查整个网络，而不只是一台计算机。

这种方法的问题在于，当今大多数网络都位于交换机上，而不是集线器上。因此，如果将一台带有数据包嗅探器的计算机插入交换机，则该交换机将只能看到进出嗅探机的流量；和网络广播。

作为Ferruccio评论的后续内容，我们将需要找到解决交换机问题的方法。

许多网络交换机可以选择设置端口镜像，以便将所有流量(无论目的地如何)都复制或者"镜像"到指定的端口。如果我们可以将交换机配置为执行此操作，则可以在此处连接网络嗅探器。

为了观看本地网络流量，最好的选择(使用像样的交换机)是将交换机设置为将所有数据包路由到特定的接口(以及通常发送的任何接口)。这使我们可以通过将流量转储到特定端口来监视整个网络。

但是，在100兆位网络上，我们需要将交换机上的千兆端口插入或者过滤协议(例如，修剪HTTP，FTP，打印，来自文件服务器的流量等)或者交换机的端口。缓冲区将立即充满，并且它将开始丢弃所需的任何数据包(网络性能将消失)。

Network Magic，如果我们不介意那些不是开源的东西。

我们可以使用IDS，硬件或者软件
http://en.wikipedia.org/wiki/Intrusion-detection_system