查看你的网络流量

　　也许判断你的SQL Server中是否发生了恶意行为的最简单办法就是看看它是否进行了网络通信。如果你有一个非常顺手的网络分析器，那么你就可以在1、2分钟之内发现情况。你可以使用SQL Server自身携带的分析器，或者从别处连接到你的以太网交换器的交换或者镜像端口上。

　　我比较喜欢EtherPeek这个网络分析器，它可以像大多数其它分析器一样捕捉进出你的SQL Server的包。如下图所示，一些跑在TCP端口12345上(通常是NetBus的特洛伊端口)流量就被发现了。

　　EtherPeek可以轻松抓取网络流量，并且高亮显示特洛伊的动作——在本次网络流量抓取过程中你可以真正地创建你自己的网络分析触发器和过滤器，如果你知道要寻找什么的话。这里的列表列出了常见的特洛伊和相关端口的细腻向。这种发现恶意流量的方法并不是十分安全，因为端口号是可以经常更换的，但是它的服务器是个不错的目标。

　　你可以在“监控”模式下运行Ether Peek，让它对网络上发生的事情有个从上到下的整体视角，——而不需要抓取包。你可以查看正在使用哪个协议，寻找巨大的流量，奇怪的通信，以及其它网络进出你的SQL Server系统的倾向。

　　5:对付恶意软件的方法

　　特洛伊木马是计算机上的一个令人厌恶的创造——它创建远程访问隧道，截获按键，删除数据等更多事情——特别是在你最重要的服务器上。很明显，最好的办法就是不用你的SQL Server进行Internet访问，Web浏览，电子邮件等行为。——但是，这不现实。你(或者其他人)可能会需要它最终不仅仅作为一个数据库服务器。一旦这样的事情出现了，你就需要确保你是被保护的。不要把责任推卸给其他人，或者其他任何东西，特洛伊不是运行在他们的系统上。不论以何种方式，永远不要假设你的反病毒软件可以保证你万无一失。

　　分析并解决恶意软件的方法：如果你想要攻击，或者安装一个可以在网络上给你帮助的欺诈软件，那么没有什么地方比直接在SQL Server上更好了。你的服务器上可能还没有特洛伊，但是如果你感觉到有问题，那么凶手就可以很容易发现。

　　那些坏人知道，很多服务器都没有针对恶意软件的保护。他们也知道，出于性能和系统在线服务时间的原因，操劳过度的管理员们很难再去在他们的数据库服务器上安装安全软件或者执行某些保护措施。保护你的服务器，并且了解如何以及在哪里寻找问题的起源吧。