Jak zjistit útočníka

Konfera linux linux na vetrni.net
Neděle Únor 8 13:26:18 CET 2009


Zdravím,

vím že tady je to asi OT, ale o co jde

někdo vede vytrvalý útok na můj mailserver, ale bohužel nevím jak
zjistit odkud to jde. V logu je totiž ip adresa vnitřního rozhraní mojí
brány. Všechny zprávy jsou správně reject a po překročení limitu je
odmítáno spojení. Nicméně útočník je vytrvalý a hrne to na mě dál již
cca 12 hodin.

jako bránu používám ovis WL5460ap v2 (je vtom linux mips) a dovnitř mám
přesměrovány pouze porty nezbytné tedy SMTP, WEB 80 i 443. V logách na
ovisu nic není.

Domnívám se správně že řešením by mohlo být odchytit komunikaci a
rozebrat jednotlivé pakety? Nejsem v tomto zas takový odborník, na co
bych se v tomto případě měl zaměřit (co hledat) pokud je moje úvaha správná?

Dík za nakopnutí

       Jarda




Další informace o konferenci Linux