[Tech] individuare uno spammer in lan
Carlo Baffa
baffa@arcetri.astro.it
Mer 14 Giu 2006 15:05:03 CEST
On Wed, 14 Jun 2006, Marco Bertorello wrote:
>>
>> Esiste un qualche sniffer che riesca a farmi capire da quale ip viene
>> generato lo spam?
>>
>> tutti i pc sono attaccati allo stesso switch che a sua volta è
>> attaccato al router
>
> Potresti monitorare l'uso della classica porta 25... chi ne fa un
> elevato uso (ingiustificato), potrebbe essere lo spammer.
>
> Con ethereal (o ettercap? non ricordo...) puoi ordinare le statistiche
> raccolte per protocollo
>
Se hai uno switch serio, probabilmente non ci riesci. Prima di tutto chi fa il
NAT (cioe' fa apparire all'esterno un solo nodo invece dei tanti interni)? Se
lo fa lo switch devi lavorare di piu', se lo fa il router, puoi fare una cosa
semplice: ti devi procurare un vecchio HUB, in modo che
il traffico da/per il router arrivi anche al tuo nodo, e su questo monti un
portatile con etherea, per seguire il traffico della porta 25.
Se invece il NAT lo fa lo switc ed esce direttamente con molte porte, devi
mettere lo hub in derivazione di una porta alla volta e provrle tutte...
Nota che alcuni programmi di spam anno un'azione molto irregolare, magari di
notte.
Ciao
Carlo
----
Carlo Baffa INAF - Osservatorio Astrofisico di Arcetri
baffa@arcetri.astro.it Largo Fermi 5
http://www.arcetri.astro.it/~baffa/ I-50125-Firenze ITALY
-------------------------------------------------------------------------
http://www.skysoft.org The new Astronomical Software Directory
Maggiori informazioni sulla lista
flug-tech