WannaCryは、LANの中ではsmb(445/TCP)で感染するということなので、簡易な監視のツールを作ってみました。
ミラーしたセグメントのパケットをtcpdumpでキャプチャし、PHPのスクリプトで観測したパケットの数を可視化します。
使い方は、次のような感じ、、、
#tcpdump -ntttti eth0 port 445 | visualize.php
visualize.php は、定期的にhtmlファイルを生成ます
利用者はブラウザでhtmlファイルを閲覧します。
htmlファイルは (例えば10秒毎に)自身をrefreshします。
表示される、画像の１マスは、ノード（PCやサーバ）間のパケット数を色で表現しています。
通信がまったく観測されない場合は濃い青色で観測されたパケット数が多いと黄色～赤に変化します。
また、マスの中の１文字は、観測したパケットの数に応じて、0-9,A-Z…..と表示しています。

#!/usr/bin/php

 $MIN_TH) {

MkHTML($buf,$date);

$prev_min = $min;

}

}

fclose($fp);

MkHTML($buf,$date);

echo “Finished!!!\n”;

function MkHTML($buf,$date){

$date=”
$date
“;

$header=”“;

$msg=”
$date
\n\n”;

for($i=1;$i<255;$i++){
$sum=0;
for($j=1;$j<255;$j++){
$sum+=$buf[$j][$i];
}
$iSum[$i]=$sum;
//              echo "$i,$iSum[$i]\n";
}
for($i=1;$i<255;$i++){
$tmp="“;$sum=0;

for($j=1;$j<255;$j++){
$var=$buf[$i][$j];
$pt=".";
if($var<63) {
if($var<10) {
$pt=$var;
} else {
$pt=chr(ord('A')+$var-10);
}
}
$sum+=$var;
$var=20*log($var+1);
$color=set_color($var);
if($iSum[$j]!=0) $tmp.= "“;

}

if($sum !=0 ) {

$msg.=$tmp;

$msg.=”\n”;

}

}

$msg.=”
$i
10.8.0.$j\”>$pt
\n
$date
\n”;

$fw=fopen(“/var/www/html/cross.html”,”w”);

fputs($fw,$header);

fputs($fw,$msg);

fclose($fw);

}

function set_color($x){

if ($x<64) {
$r=0; $g= $x*4 ; $b=255;
} else {
if ($x<128){
$r=4*( $x -64 );$g=255;$b=255-$r;
} else {
if ($x<192){
$b=4*( $x - 128 );$r=255;$g=255-$b;
} else {
$r=255;$g=0;$b=255-4*( $x -192);
}
}
}
return "#".sprintf("%02x%02x%02x",$r,$g,$b);
}
?>