RE: Jak zjistit útočníka

[Tomáš Koželuh]

Použít například tcpdump přímo na tom routeru, pokud to jde. 

> -----Original Message-----
> From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf
> Of Konfera linux
> Sent: Sunday, February 08, 2009 1:26 PM
> 
> vím že tady je to asi OT, ale o co jde
> 
> někdo vede vytrvalý útok na můj mailserver, ale bohužel nevím jak
> zjistit odkud to jde. V logu je totiž ip adresa vnitřního rozhraní mojí
> brány. Všechny zprávy jsou správně reject a po překročení limitu je
> odmítáno spojení. Nicméně útočník je vytrvalý a hrne to na mě dál již
> cca 12 hodin.
> 
> jako bránu používám ovis WL5460ap v2 (je vtom linux mips) a dovnitř mám
> přesměrovány pouze porty nezbytné tedy SMTP, WEB 80 i 443. V logách na
> ovisu nic není.
> 
> Domnívám se správně že řešením by mohlo být odchytit komunikaci a
> rozebrat jednotlivé pakety? Nejsem v tomto zas takový odborník, na co
> bych se v tomto případě měl zaměřit (co hledat) pokud je moje úvaha
> správná?