Автор Тема: Как вычислить спамера в локальной сети?  (Прочитано 549 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн aba

  • Юзер
  • *
  • Сообщений: 36
  • Karma: +0/-0
    • Share Post
Как вычислить спамера в локальной сети?
Провайдер написал с моего адреса идет спам
*мой адрес* port   49649   asn 50386   infection - securityscorecard-ranbyus /   cc_ip - 208.100.26.234   cc_port 80 cc_asn - 32748 c_geo - US   cc_dns - tqbmvgoqrjpngs.in
Погоду у кого то вирусованый комп.
Как узнать спамера через роутер?
У менять стоит роутер Микротик,

 

Оффлайн Cyberpunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1128
  • Karma: +44/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #1 : Декабрь 21, 2015, 11:53:43 pm »
В первую очередь в голову приходит вариант со сниффингом траффика и анализом потом его Wireshark'ом к примеру. На микротике соответствующая функция есть.
Одной мотивации недостаточно: если у вас есть идиот и вы его мотивировали, то в результате вы получите мотивированного идиота. Джим Рон

Оффлайн Cyberpunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1128
  • Karma: +44/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #2 : Декабрь 21, 2015, 11:56:26 pm »
Еще в файрволе на микротике добавить запрещающее правило, и по правилу включить логирование... тоже вариант.

Оффлайн aba

  • Юзер
  • *
  • Сообщений: 36
  • Karma: +0/-0
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #3 : Декабрь 22, 2015, 09:41:50 am »
Еще в файрволе на микротике добавить запрещающее правило, и по правилу включить логирование... тоже вариант.
на счет правило, можете по подробнее сказать

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 7888
  • Karma: +106/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Как вычислить спамера в локальной сети?
« Ответ #4 : Декабрь 22, 2015, 09:50:48 am »
У тебя прокси используется?
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 542
  • Karma: +35/-0
  • Пол: Мужской
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #5 : Декабрь 22, 2015, 10:27:08 am »
Если отсутствует прокси аля сквид, и используется только микротик, то я бы развернул syslog-сервер, и сливал бы логи на сислог, т.к. у микрота внутрення память для логов ограниченная.

Оффлайн Cyberpunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1128
  • Karma: +44/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #6 : Декабрь 22, 2015, 10:32:12 am »
IP-Firewall - Add rule
Chain -> forward
Src. Address -> XXX.XXX.XXX.XXX/MASK (локалка с маской)
Dst. Address -> XXX.XXX.XXX.XXX (атакуемый IP)
Out. Interface -> Select your output interface
Action -> Drop
Log -> Enabled
Log Prefix -> Custom

И как говорил nix не пишите логи на диск, в настройках syslog создайте правило для firewall -> echo что бы выводить логи на экран без записи (если уж нету syslog сервреа)

И перед созданием правила активируйте Safe Mode на микротике чтобы была возможность после перезагрузки вернуться на старую конфигурацию.
« Последнее редактирование: Декабрь 22, 2015, 10:33:50 am от Cyberpunk 2050 »

Оффлайн aba

  • Юзер
  • *
  • Сообщений: 36
  • Karma: +0/-0
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #7 : Декабрь 22, 2015, 11:15:12 am »
IP-Firewall - Add rule
Chain -> forward
Src. Address -> XXX.XXX.XXX.XXX/MASK (локалка с маской)
Dst. Address -> XXX.XXX.XXX.XXX (атакуемый IP)
Out. Interface -> Select your output interface
Action -> Drop
Log -> Enabled
Log Prefix -> Custom

И как говорил nix не пишите логи на диск, в настройках syslog создайте правило для firewall -> echo что бы выводить логи на экран без записи (если уж нету syslog сервреа)

И перед созданием правила активируйте Safe Mode на микротике чтобы была возможность после перезагрузки вернуться на старую конфигурацию.
Прокси нет токо микротик. Буду пробовать. как сказали.
Получается что меня атакует cc_ip - 208.100.26.234   cc_port 80 cc_asn - 32748 c_geo - US   cc_dns - tqbmvgoqrjpngs.in?
я  думал туда отправили  рассылку из моей сети ?  или как?

Оффлайн Al8

  • Пользователь
  • **
  • Сообщений: 97
  • Karma: +4/-3
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #8 : Декабрь 22, 2015, 12:04:12 pm »
Сливай данные в Netflow в коллектор (нужен отдельный комп), и анализируй трафик, например через nfsen.
Будешь видеть всю раскладку, кто куда сколько и что отправил.
« Последнее редактирование: Декабрь 22, 2015, 12:12:12 pm от Al8 »

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 542
  • Karma: +35/-0
  • Пол: Мужской
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #9 : Декабрь 22, 2015, 12:12:58 pm »
Сливай данные в Netflow в коллектор (нужен отдельный комп), и анализируй трафик, например через nfsen.
Будешь видеть всю раскладку, кто куда что отправил.
Если бы человек знал что такое нетфлоу-коллектор, то он бы вряд ли тут задавал бы вопросы :sarcastic:

Оффлайн Cyberpunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1128
  • Karma: +44/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #10 : Декабрь 22, 2015, 12:13:33 pm »
Прокси нет токо микротик. Буду пробовать. как сказали.
Получается что меня атакует cc_ip - 208.100.26.234   cc_port 80 cc_asn - 32748 c_geo - US   cc_dns - tqbmvgoqrjpngs.in?
я  думал туда отправили  рассылку из моей сети ?  или как?
Эмммм... погоди... запутал ты меня.
С твоего адреса атакуют этот адрес - 208.100.26.234. Так?

Оффлайн Cyberpunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1128
  • Karma: +44/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #11 : Декабрь 22, 2015, 12:14:15 pm »
Сливай данные в Netflow в коллектор (нужен отдельный комп), и анализируй трафик, например через nfsen.
Будешь видеть всю раскладку, кто куда сколько и что отправил.
Уже предлагали syslog включить...   :undecided: :yes4: что говорить попросту о NetFlow
« Последнее редактирование: Декабрь 22, 2015, 12:25:07 pm от Cyberpunk 2050 »

Оффлайн aba

  • Юзер
  • *
  • Сообщений: 36
  • Karma: +0/-0
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #12 : Декабрь 22, 2015, 12:35:06 pm »
Прокси нет токо микротик. Буду пробовать. как сказали.
Получается что меня атакует cc_ip - 208.100.26.234   cc_port 80 cc_asn - 32748 c_geo - US   cc_dns - tqbmvgoqrjpngs.in?
я  думал туда отправили  рассылку из моей сети ?  или как?
Эмммм... погоди... запутал ты меня.
С твоего адреса атакуют этот адрес - 208.100.26.234. Так?
Ну получается так.
Может объяснить это *мой адрес* port   49649   asn 50386   infection - securityscorecard-ranbyus /   cc_ip - 208.100.26.234   cc_port 80 cc_asn - 32748 c_geo - US   cc_dns - tqbmvgoqrjpngs.in.
А то уже кажется запутался.

Оффлайн Cyberpunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1128
  • Karma: +44/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Re: Как вычислить спамера в локальной сети?
« Ответ #13 : Декабрь 22, 2015, 12:47:26 pm »
Ну получается так.
Может объяснить это *мой адрес* port   49649   asn 50386   infection - securityscorecard-ranbyus /   cc_ip - 208.100.26.234   cc_port 80 cc_asn - 32748 c_geo - US   cc_dns - tqbmvgoqrjpngs.in.
А то уже кажется запутался.

Вот вообще мне эта строчка ни о чем не говорит.
Приложите письмо обращение Вашего провайдера...

По мне так это обращение к сайту tqbmvgoqrjpngs.in (который резолвится в 208.100.26.234) на 80 порт. С вашей стороны порт ясень пень динамический (49649). Что такое infection - securityscorecard-ranbyus понятия не имею.
« Последнее редактирование: Декабрь 22, 2015, 12:50:03 pm от Cyberpunk 2050 »


xx
ICQ сервер для локальной сети

Автор artseven

6 Ответов
2906 Просмотров
Последний ответ Декабрь 11, 2013, 04:25:31 pm
от Cyberpunk 2050
xx
ДНС Сервер в локальной сети.

Автор Alexix712

4 Ответов
677 Просмотров
Последний ответ Июнь 26, 2015, 04:07:40 pm
от Alexix712
xx
Какой чат установить для локальной сети

Автор Alexix712

19 Ответов
1713 Просмотров
Последний ответ Май 14, 2015, 05:52:52 pm
от around
xx
Доступ к локальной сети из Интернета

Автор vuser

4 Ответов
179 Просмотров
Последний ответ Январь 12, 2017, 11:54:10 am
от sysadmin