Utilizzo FlowMatrix. Cosa fanno gli altri a buon mercato?
WireShark è uno strumento gratuito che puoi utilizzare per monitorare il traffico di rete. Ottimo strumento per vedere se un keylogger nascosto sta tentando di inviare tramite e-mail e / o log FTP perché di solito ha l'indirizzo e la password nel log di WireShark.
Ho appena visto un discorso a Shmoocon sugli strumenti YaF e SiLK che sembravano davvero buoni. YaF è un raccoglitore di flussi (che può raccogliere anche altri dati interessanti) e SiLK è un pacchetto di analisi per loro. C'è anche una bella GUI chiamata iSiLK.
OSSIM ha una scheda Anomalies che utilizza Ntop e può essere configurata con dati simili.
Quando ho fatto queste cose in passato, ho usato Ourmon.