[Tech] individuare uno spammer in lan

Simone Piccardi piccardi@firenze.linux.it
Mer 14 Giu 2006 17:12:37 CEST


Carlo Baffa wrote:
> On Wed, 14 Jun 2006, Marco Bertorello wrote:
> 
>>>
>>> Esiste un qualche sniffer che riesca a farmi capire da quale ip viene
>>> generato lo spam?
>>>
>>> tutti i pc sono attaccati allo stesso switch che a sua volta è
>>> attaccato al router
>>
>>
>> Potresti monitorare l'uso della classica porta 25... chi ne fa un
>> elevato uso (ingiustificato), potrebbe essere lo spammer.
>>
>> Con ethereal (o ettercap? non ricordo...) puoi ordinare le statistiche
>> raccolte per protocollo
>>
> 
> Se hai uno switch serio, probabilmente non ci riesci. Prima di tutto chi
> fa il NAT (cioe' fa apparire all'esterno un solo nodo invece dei tanti
> interni)? Se lo fa lo switch devi lavorare di piu', se lo fa il router,
> puoi fare una cosa semplice: ti devi procurare un vecchio HUB, in modo
> che il traffico da/per il router arrivi anche al tuo nodo, e su questo
> monti un portatile con etherea, per seguire il traffico della porta 25.
> 
> Se invece il NAT lo fa lo switc ed esce direttamente con molte porte,
> devi mettere lo hub in derivazione di una porta alla volta e provrle
> tutte...
> 
> Nota che alcuni programmi di spam anno un'azione molto irregolare,
> magari di notte.

Beh, in realta` con l'uso di ettercap si puo` senz'altro intercettare il
traffico con un bel po' di arp poisoning. Il che pero` non credo fara`
molto piacere alla rete (ed in particolare alla macchine windows) su cui
lo fai.

Per cui ti suggerirei di bloccare la 25 in uscita a parte la macchina
linux, e di impostare la macchina linux come smtp server delle macchine
windows, da quella poi esci (e vedi anche chi fa casino).

Ciao
Simone



Maggiori informazioni sulla lista flug-tech