[Tech] identificazione intrusi
leo@dicea.unifi.it
leo@dicea.unifi.it
Mar 19 Nov 2002 20:22:51 CET
Su due macchien windows nel dipartimento da qualche tempo,
specie almartedė si osservano tentativi di accesso, in cui delle
macchine esterne tentano di entrare.
Il risultato č che dopo alcuni tentativi di craccare lapassword il
server reagisce e blocca per x minuti l' accont sotto attacco,
blocca l' attacco ma crea un DoS piuttosto antipatico nei confronti
dell' interessato.
Siccome ho dubbi sul worm che sta facendo questo (anche se un
netstat mi rileva accessi dall' Asia) piuttosto che installare un
tcpdump sulla amcchina stessa, volevo fare questo: mettere come
default gateway alla amcchina sotto attacco una macchina
"sicura" e fare gireare il tcpdump su questa.
Domanda: sotto linuc come faccio a fare in modo che il tcpdumb
mi logghi il traffico ogni 15' , salvando su un file e ripartendo, in
modo da potere esaminare velocemente i file ?
che filtro mettereste ? ?
Maggiori informazioni sulla lista
flug-tech