WireShark是一款免费工具，可用于监控网络流量。查看隐藏的键盘记录器是否正在尝试发送电子邮件和/或 FTP 日志的绝佳工具，因为它通常在 Wireshark 日志中具有地址和密码。

我刚刚在 Shmoocon 上看到一个关于YaF 和 SiLK工具的演讲，看起来真的很棒。YaF 是一个流量收集器（它也可以收集其他有趣的数据），而 SiLK 是一个分析包。甚至还有一个不错的 GUI，称为 iSiLK。

OSSIM 有一个 Anomalies 选项卡，它使用 Ntop 并且可以使用类似的数据进行配置。

当我过去做这些事情时，我使用了Ourmon。