在网关服务器上增设病毒检测提示功能(实践中，未完)

stonelinux

内部客户机中了木马或是病毒，大量向外发包，占用网络资源。在linux网关上进行流量检测，并强迫用户端弹出浏览器窗口，提示用户中毒，并提供相应补丁或杀毒软件下载。
检测部分：
冲击波---大量的向随机目的主机的TCP135端口发起连接包。
             方法：将tcp syn 135 -log的所有源地址登记，使用tcpdump进行一定时间的抓包，排序，对超过一定值的源地址界定。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/1708/showart_5336.html