[Tech] individuare uno spammer in lan

[Marco Bertorello]

On Wed, 14 Jun 2006 18:22:53 +0200
Tommaso Visconti <t.visconti@cantierecreativo.fi.it> wrote:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> fabio nigi ha scritto:
> > e questo non è male, ma la rete l amministri te o no?
> > se si può chiedere:
> > come è strutturata?firewall proxy porte aperte etc.
> > almeno delineiamo un pò la linea di condotta.
> 
> si, la amministro.
> la richiesta iniziale di uno sniffer era perché avevo in quel momento
> solo un accesso ssh, ma dato che domani sarò là fisicamente posso
> smanettare quanto voglio.
> 
> allora la rete è fatta così:
> 
> tutti i Pc --> Switch1 -\
>   			 | --> firewall(monowall) --> router
> DMZ        --> Switch2 -/
> 
> > mmm..se è uno spammer furbo magari usa porte differenti, le mail da
> > escono direttamente dal vostro server aziendale (quindi avete un
> > record mx)oppure vengo rediretta a qualche server esterno a "cosce
> > aperte" e quindi voi vedete solo generare traffico?
> 
> il tutto esce a diritto verso l'smtp di telecom,
> il fatto è che i pc sono molti e tutti belli infetti..
> 
> quindi mi sa che la cosa migliore è infilare un portatile con 2 eth
> tra firewall e router e vedere quali sono gli ip che generano spam,
> giusto?

Io lo metteri fra Switch1 e il firewall... 99 su 100 il firewall fa il
NAT di tutti i PC con un unico IP, quindi se mettessi la
sniffing-machine fra firewall e router, vedresti tutto arrivare con lo
stesso IP.

o meglio ancora, sostituirei temporaneamente switch1 con un bell' hub
(se ne hai la possibilità) e attacchereri il portatile (con una sola
eth) alla lan...

ciao,

-- 
Marco Bertorello
System Administrator
http://bertorello.ns0.it/