[Tech] individuare uno spammer in lan

[fabio nigi]

Marco Bertorello wrote:
> On Wed, 14 Jun 2006 12:42:19 +0200
> Tommaso Visconti - Cantiere Creativo <t.visconti@cantierecreativo.fi.it>
> wrote:
> 
>> Ciao,
>> il caso:
>>
>> hanno messo l'ip pubblico di una ditta in blacklist perché da quell'ip
>> viene generato un visibilio di spam. Non si capisce quale sia il pc
>> che lo genera.
>>
>> Io ho accesso ad un pc linux che fa parte della lan.
>>

e questo non è male, ma la rete l amministri te o no?
se si può chiedere:
come è strutturata?firewall proxy porte aperte etc.
almeno delineiamo un pò la linea di condotta.

>> Esiste un qualche sniffer che riesca a farmi capire da quale ip viene
>> generato lo spam?
>>
>> tutti i pc sono attaccati allo stesso switch che a sua volta è
>> attaccato al router
> 
> Potresti monitorare l'uso della classica porta 25... chi ne fa un
> elevato uso (ingiustificato), potrebbe essere lo spammer.



mmm..se è uno spammer furbo magari usa porte differenti, le mail da
escono direttamente dal vostro server aziendale (quindi avete un record
mx)oppure vengo rediretta a qualche server esterno a "cosce aperte" e
quindi voi vedete solo generare traffico?
> 
> Con ethereal (o ettercap? non ricordo...) puoi ordinare le statistiche
> raccolte per protocollo
> 

ethereal permette di generare report sul protocollo anche se la scelta
più consano a mio avviso e non solo in questo caso è tenere un sistema
di monitoraggio del traffico(mrtg) direttamente sul tuo gw

ciao e quando lo becchi spezzagli un paio di sedie in testa da parte mia,

Fabio

> ciao,
> 


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: OpenPGP digital signature
URL:         <http://lists.linux.it/pipermail/flug-tech/attachments/20060614/3992996a/attachment.pgp>