Sys-Admin Forum

Как вычислить спамера в локальной сети?

Как вычислить спамера в локальной сети?
Провайдер написал с моего адреса идет спам
мой адрес port 49649 asn 50386 infection - securityscorecard-ranbyus / cc_ip - 208.100.26.234 cc_port 80 cc_asn - 32748 c_geo - US cc_dns - tqbmvgoqrjpngs.in
Погоду у кого то вирусованый комп.
Как узнать спамера через роутер?
У менять стоит роутер Микротик,

В первую очередь в голову приходит вариант со сниффингом траффика и анализом потом его Wireshark’ом к примеру. На микротике соответствующая функция есть.

Еще в файрволе на микротике добавить запрещающее правило, и по правилу включить логирование… тоже вариант.

на счет правило, можете по подробнее сказать

У тебя прокси используется?

Если отсутствует прокси аля сквид, и используется только микротик, то я бы развернул syslog-сервер, и сливал бы логи на сислог, т.к. у микрота внутрення память для логов ограниченная.

IP-Firewall - Add rule
Chain -> forward
Src. Address -> XXX.XXX.XXX.XXX/MASK (локалка с маской)
Dst. Address -> XXX.XXX.XXX.XXX (атакуемый IP)
Out. Interface -> Select your output interface
Action -> Drop
Log -> Enabled
Log Prefix -> Custom

И как говорил nix не пишите логи на диск, в настройках syslog создайте правило для firewall -> echo что бы выводить логи на экран без записи (если уж нету syslog сервреа)

И перед созданием правила активируйте Safe Mode на микротике чтобы была возможность после перезагрузки вернуться на старую конфигурацию.

Прокси нет токо микротик. Буду пробовать. как сказали.
Получается что меня атакует cc_ip - 208.100.26.234 cc_port 80 cc_asn - 32748 c_geo - US cc_dns - tqbmvgoqrjpngs.in?
я думал туда отправили рассылку из моей сети ? или как?

Сливай данные в Netflow в коллектор (нужен отдельный комп), и анализируй трафик, например через nfsen.
Будешь видеть всю раскладку, кто куда сколько и что отправил.

Если бы человек знал что такое нетфлоу-коллектор, то он бы вряд ли тут задавал бы вопросы :sarcastic:

Эмммм… погоди… запутал ты меня.
С твоего адреса атакуют этот адрес - 208.100.26.234. Так?

Уже предлагали syslog включить… :undecided: :yes4: что говорить попросту о NetFlow

Ну получается так.
Может объяснить это мой адрес port 49649 asn 50386 infection - securityscorecard-ranbyus / cc_ip - 208.100.26.234 cc_port 80 cc_asn - 32748 c_geo - US cc_dns - tqbmvgoqrjpngs.in.
А то уже кажется запутался.

Вот вообще мне эта строчка ни о чем не говорит.
Приложите письмо обращение Вашего провайдера…

По мне так это обращение к сайту tqbmvgoqrjpngs.in (который резолвится в 208.100.26.234) на 80 порт. С вашей стороны порт ясень пень динамический (49649). Что такое infection - securityscorecard-ranbyus понятия не имею.