Jak zjistit útočníka
Konfera linux
linux na vetrni.net
Neděle Únor 8 13:26:18 CET 2009
Zdravím,
vím že tady je to asi OT, ale o co jde
někdo vede vytrvalý útok na můj mailserver, ale bohužel nevím jak
zjistit odkud to jde. V logu je totiž ip adresa vnitřního rozhraní mojí
brány. Všechny zprávy jsou správně reject a po překročení limitu je
odmítáno spojení. Nicméně útočník je vytrvalý a hrne to na mě dál již
cca 12 hodin.
jako bránu používám ovis WL5460ap v2 (je vtom linux mips) a dovnitř mám
přesměrovány pouze porty nezbytné tedy SMTP, WEB 80 i 443. V logách na
ovisu nic není.
Domnívám se správně že řešením by mohlo být odchytit komunikaci a
rozebrat jednotlivé pakety? Nejsem v tomto zas takový odborník, na co
bych se v tomto případě měl zaměřit (co hledat) pokud je moje úvaha správná?
Dík za nakopnutí
Jarda
Další informace o konferenci Linux