Security
Natürlich eignet sich IsarFlow auch für den Security-Blick auf das Netzwerk. So lassen sich gezielt die Rechner herausfinden, die mit Würmern und Viren verseucht sind. Denn im Gegensatz zu Applikationen kennt sich ein Wurm nicht im Intranet aus, verrät sich also durch Scans des Netzwerkes.
So fallen in dieser Analyse sofort die ersten drei Rechner auf, die sehr viele Netze ansprechen.
Diese Analyse umfaßt den Zeitraum von einer Stunde, aggregiert auf /16-Netze. Diese Rechner sprechen also in einer Stunde mehr als ein Drittel des gesamten IPv4-Adressraumes an!
Schon ein erster Blick in die Details zeigt, daß durch diesen Rechner offensichtlich die Netze systematisch gescannt werden.
Ein Drill-Down zeigt weiterhin, daß sehr viele Flows mit sehr kleinen Daten erzeugt werden.
Selbst kurze DNS-Abfragen sind größer als die hier gezeigten Flow-Größen...
Weitere Analysen zeigen dann, daß dieser Rechner über die Windows-Fileshare-Ports die anderen Rechner scannt.
Somit ist klar, daß dieser Rechner entweder dringend vom Netz genommen werden muß oder zumindest eine Alarmierung des Verantworlichen erfolgen muß.