作者 主題: 【請教】如何查出同一網段的該台電腦被入侵?  (閱讀 33630 次)

0 會員 與 1 訪客 正在閱讀本文。

cyilung

  • 憂鬱的高中生
  • ***
  • 文章數: 132
    • 檢視個人資料
請問,
如何查出同網段的某台電腦在發垃圾信呢?
有軟體工具或任何方法嗎?
III-500 384MB ADSL 2M/256K
FreeBSD 6.1 + Apache 2.0.55  + PHP 4.4.1.3-15 +  MYSQL 4.1.16 + Sendmail + clamav0.87.1 + imap-uw + OpenWebmail 2.51

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
用 sniffer 去看 大量 異常封包 .

有套叫 snort 的 軟體很好用 .

你可以用它去 堅聽 廣撥 封包 .

另外你們有相關網路設備的話  你們可以 mirror sniffer 封包 做監聽.

去 snort 查查 它有free 版 .  free 版應該就可以解決你們現有的問題.

ps : 你們可能沒有做 sasl 加密 .  一般這種沒有加密的 廣播 封包 很容易看到 你們的 email 帳號密碼的 .
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
若我家用的全都是 Switch, 我想 sniffer 也看不到我的  email帳號與密碼吧!!

PS. sniffer 不是都可以看得到封包的 !!
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
引述: "JackYang78"
若我家用的全都是 Switch, 我想 sniffer 也看不到我的  email帳號與密碼吧!!

PS. sniffer 不是都可以看得到封包的 !!



不好意思 口水有點多 ^^!! 耐心看看  ... 我覺得這個話題 不錯 所以多話了

我是 比較 focus 在 系統軟體開發的 程式設計師 對網路沒有很懂

因為這幾年 工作需要 不得已 才研究一點皮毛  .

大家 有好的建議的 也請多給小弟一點意見 ..



switch 不用廣撥 所以是看不到的 .

不過 你家很有錢喔 應該是油水很多的單位吧全部 採 layer2 的設備 ... 嘿嘿 .

但是 如果你要 看所有的封包 你必需 用 SWITCH 的設備 將 各個 interfaces 的 封包 全部 導到 同一個 port 做mirror .

你就可以看到  想看的 interfaches 所有導向 同一個 port 的 所有封包 但是這樣做 對 大型的骨幹交換器來說會有點累

所以建議 您可以選擇性的去做 port mirror

詳細的您可以參考一些 骨幹交換 器的廠商的說明書 , 例如 cisco , 3com 就都有這些功能 而設定及架構多少都有一點差異

至於 email 的問題 :

其實有很多的 學校 或 單位 都被人家當跳版 信箱 , 因為 大部 份的學校和 政府單位

email 都沒有做 sasl 加密 , 所以只要有機會 可以 監聽到 你們家的封包就可以直接在 封包內容看到 你丟出去的帳號和密碼  .


小弟不筧得 你們家都走 layer2 的 架構就可以全面防止 做到滴水不漏 一山真的還有一山高.


如果 使用者在一個不安全的網路環境下 使用 email 我在 其它地方還是可以 監聽到 user 的帳號密碼 ,

這跟 你們全部 採用 layer 2 是沒有什麼關係的 除非你們全面禁用 使用者在公司以外的地方使用網路連回 你們單位的服務.

而且你也可能很難去 控管到 有 人 偷接 hub 吧  , 不過 你可以用 snmp 去 收 mib 分析 誰在用 hub 這個倒不是難事

我倒是有聽過案例 學校宿舍 因為 學校沒錢全部更換 layer2 的設備  , 所以有利害一點的學生 用 sniffer 的技術偷看別人 的資料 .

其它比較 難做的像 無線網路 安全問題 :

如何收集很多 冤大頭 的 email 當 跳版 伺服器 .

因為 無線 ap 多數是走 廣撥  , 所以 你不需要登入 該單位的 無線網路限制

只要你 取得 dhcp 的 ip 及 dns 你就可以堅聽所有人的封包 .

像 有些咖啡廳 或是 學校 或是 車站 等等 都有提共的 無線 ap 基地台  .

如果 你處在的環境 有 hub 也可以接上網路 慢慢錄 像同事的資料啦 等等..  嘿嘿 .

接下來呢 :

你只要帶一台 nb , 而且 有某些指定的 nb 無線網卡 是可以收封包的 .

你就 到處去收集 然後 把封包 的檔案存好 , 再回家慢慢分析和解析 ....

小弟就曾經 在一間大學 一開 sniffer 馬上就從無線網路上 看到一堆人的 email 帳號密碼.

還跟 系主任 唱名 比對 帳密 嘿嘿  ...  不過 說穿了 真的沒什麼了不起  真的很簡單 連高中的小鬼都會.

幾年前有流行 msn 測錄 , email 測錄 , 網頁測錄 等等等 ....

就是 利用這個方式去 測錄的  所以其實我們 處在的網路環境 到處都充滿了 危機  .


別誤會 這個案子是我們認識的廠商做的 .

先前大家有看到新聞 蘇院長的 email 要 280 萬 ... 其實才 二百七十幾萬啦 沒那麼貴啦 .

我覺得這 則新聞 不公平 , 因為 網路安全建置 是要錢的 taiwan 人真的很不重視資安 .

一分錢一分貨 280 萬一點都不貴 , 重要的單位 花這點錢 後續 省下來的 問題 反而獲得更多 .

這樣子 我們政府單位 誰還敢採購資安產品 ,  taiwan 的網路安全 建置 ,

足足比 美國 , 日本 落後了 五年以上 我看 也遠不如大陸吧  看到這則新聞 這個說法讓我更堅信了 .
.


目前 國內有 幾家 廠商 在做無線網路安全軟體  我公司也是其中一家  , 所以對這些事 爾有所聞.


像 我公司的產品 其中一個功能會去主動 攻擊 非法 使用無線網路的 mac , 不過 這是管制品 不是一般人可以買的.

因為 有這種東西 你們全社區有你這個惡鄰居 大家都 都不用上網了 .

不過  taiwan 這類型的 產品真的不好賣  %#%@%# 好像講太多癈話了 ..

打個廣告 有興趣購買的可以密我 .. 我叫我家業務去找你 ccc .


接下來 再介紹個 東西 :

如果 你不想聊天訊息給人看到  目前 最安全的是 skype 因為 skype 的做法 是採 random key 的加密方式

加密邏輯一直在 切換 , 我沒記錯的話 skype 是用 128 加密 , 更慘的是 skype 的 加密 邏輯 每 隔一段時間 又會改變 ,

128 的加密技術 大楖要一千多台 電腦去 運算 去有能力去解出來 , 而且 每隔一段時間 加密邏輯又會改變

根本無解 沒人會為了 堅聽 單一人的skype 去買一整個房間的電腦做skype解密的

所以想做壞事的朋友 別學 惡龍 張xx 用msn或 yahoomsg 等 跟人家 聊天 真的是沒有秘密.

只要去 hinet 申請一下  機房就可以收你的資料了 .

所以早期 大陸 那裡 才傳出要全面禁止 skype 在國內使用 因為 skype 官方不願意提供加密技術 .

目前 國外 相關情治單位 己經向 skype 施壓 不久 將來 skype 應該也可以 測錄了.
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
引述: "cyilung"
請問,
如何查出同網段的某台電腦在發垃圾信呢?
有軟體工具或任何方法嗎?


對了 忘了交待一件事不好意思 ,

如果 你們全部 採用 switch .

sniffer 有點 重 ,  你們可以用 netflow 的格式 或是 sflow 的格式  .

去 監聽 session 的數量 不用看封包內容 ,

例如 email 一般都走 25 跟 110  你只要看 那個 sources ip 對 這相關的 port 發出 大量的連線請求

就可以知道 誰在發垃圾信了 .

不用 用到 sniffer 這麼麻煩 .
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
引述: "FIEND"
引述: "JackYang78"
若我家用的全都是 Switch, 我想 sniffer 也看不到我的  email帳號與密碼吧!!

PS. sniffer 不是都可以看得到封包的 !!



不好意思 口水有點多 ^^!! 耐心看看  ... 我覺得這個話題 不錯 所以多話了

我是 比較 focus 在 系統軟體開發的 程式設計師 對網路沒有很懂

因為這幾年 工作需要 不得已 才研究一點皮毛  .

大家 有好的建議的 也請多給小弟一點意見 ..



switch 是走 layer2 的架構 ,  所以不在 廣撥的 通道上 是看不到的 .

不過 你家很有錢喔 應該是油水很多的單位吧全部 採 layer2 的設備 ... 嘿嘿 .



哈哈...現在應該不太可能買到 HUB 了吧 !!
這個跟你家很有錢這句話應該沒什關係吧 !! ... 反而我想買 HUB 來還買不到!!

還有要用 HUB 去接在主幹..我想這一點就有點難 ?! 你該不會想說,把HUB接起來就可以用 Sniffer 監聽了吧?!  :lol:
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
引述: "JackYang78"
引述: "FIEND"
引述: "JackYang78"
若我家用的全都是 Switch, 我想 sniffer 也看不到我的  email帳號與密碼吧!!

PS. sniffer 不是都可以看得到封包的 !!



不好意思 口水有點多 ^^!! 耐心看看  ... 我覺得這個話題 不錯 所以多話了

我是 比較 focus 在 系統軟體開發的 程式設計師 對網路沒有很懂

因為這幾年 工作需要 不得已 才研究一點皮毛  .

大家 有好的建議的 也請多給小弟一點意見 ..



switch 是走 layer2 的架構 ,  所以不在 廣撥的 通道上 是看不到的 .

不過 你家很有錢喔 應該是油水很多的單位吧全部 採 layer2 的設備 ... 嘿嘿 .



哈哈...現在應該不太可能買到 HUB 了吧 !!

這個跟你家很有錢這句話應該沒什關係吧 !! ... 反而我想買 HUB 來還買不到!!

還有要用 HUB 去接在主幹..我想這一點就有點難 ?! 你該不會想說,把HUB接起來就可以用 Sniffer 監聽了吧?!  :lol:



^^!! 系喔 hub 買不到啦 嘿嘿  .... 我對這個就不是很懂了 沒機會花錢 .....

不過很多 site 還在 用 hub 啦 , 問他們為什麼不換 每家都跟我哭窮 ... ..

有的學校 光宿舍就 幾千人 用 switch 還真的蠻花錢的 ... 誇張一點的 arp 內可以看到 四五千台電腦在上頭 .

所以 有很多 單位 layer 2 底下 一個 interfaces 會接 幾台 hub 再 轉到 宿舍.. ...

如果 每個 user 都 用一個 layer2 的 port 那 買起來 預算 蠻高的 小弟猜你們單位很小不然就是有錢....

但又不好意思說 你們可能是個小單位  , 就 只好 稱讚你們是 有錢的單位 了

剛我不是有說 switch 可以 將 各別 interfaces 的 封包 導到同一個 port 做 mirror 嗎

^^!! 算了 我講太多癈話了  hub 接在 骨幹交換器下頭 收封包 真是可愛的說法 我想那台 hub 會爆炸吧 cccc ...... 嗯 .....  嘿嘿 ....

不打口水 戰.. 別挖苦我了 我我對網路沒有很懂 大家 看看就好 ...  

小弟認輸 還是回去我的 php 版 打屁 好了 ccc ..
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
我也沒有別的意思,只是有感,有些網路上面的文章,看看就好了!!

拿一個 HUB 接上去,就可以用 sniffer 取的帳號密碼,是可行啦..問題是 HUB 接在那裡? 接在自己的 NB 上面,看自己的密碼帳號,我想不必了吧!!

無線網路,我想應該也有 Authentication & Encryption 兩種機制,
想要用 sniffer 來竊聽..我想也有一點困難!!

用 Switch Port Mirror 的方式,是可行的,不過除非你是網管人員,不然一般人應該也是霧沙沙吧 !!
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
引述: "JackYang78"
我也沒有別的意思,只是有感,有些網路上面的文章,看看就好了!!

拿一個 HUB 接上去,就可以用 sniffer 取的帳號密碼,是可行啦..問題是 HUB 接在那裡? 接在自己的 NB 上面,看自己的密碼帳號,我想不必了吧!!

無線網路,我想應該也有 Authentication & Encryption 兩種機制,
想要用 sniffer 來竊聽..我想也有一點困難!!

用 Switch Port Mirror 的方式,是可行的,不過除非你是網管人員,不然一般人應該也是霧沙沙吧 !!



無線網路 剛不是說 不用管認證問題 .. 只要找到特定的網卡就可以收了嗎

像 咖啡廳 , 車站 等等.. 都 一定可以收 根本不用認證 只要你懂 方法 .

我有做過實驗  不少都是可以收的 .

你能保障你的單位成員不會跑去 網咖 咖啡聽 車站上網嗎??  .

你能保證 你的 使用者 不會跑去 一個 只有hub 的環境上網嗎??

再者 很多 小公司 或是個人還是都在用 hub 你家那麼有錢

都是 switch 當然不會 了解窮人 只能 hub 摸用的痛苦   ..
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
引述: "FIEND"
引述: "JackYang78"
我也沒有別的意思,只是有感,有些網路上面的文章,看看就好了!!

拿一個 HUB 接上去,就可以用 sniffer 取的帳號密碼,是可行啦..問題是 HUB 接在那裡? 接在自己的 NB 上面,看自己的密碼帳號,我想不必了吧!!

無線網路,我想應該也有 Authentication & Encryption 兩種機制,
想要用 sniffer 來竊聽..我想也有一點困難!!

用 Switch Port Mirror 的方式,是可行的,不過除非你是網管人員,不然一般人應該也是霧沙沙吧 !!



無線網路 剛不是說 不用管認證問題 .. 只要找到特定的網卡就可以收了嗎

像 咖啡廳 , 車站 等等.. 都 一定可以收 根本不用認證 只要你懂 方法 .

我有做過實驗  不少都是可以收的 .

你能保障你的單位成員不會跑去 網咖 咖啡聽 車站上網嗎??  .

再者 很多 小公司 或是個人還是都在用 hub 你家那麼有錢

都是 switch 當然不會 了解窮人 只能 hub 摸用的痛苦   ..


是不管認證...但還是有 Encryption 喔...這一點不會也破功了吧 !!

我想市場你還是要去看一下啦...真的很難買到 HUB 啦...

PS. 我家員工外面上網... 一律使用 SSL-VPN !!
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #10 於: 2006-10-30 08:52 »
對喔 忘了 vpn 了  我咧 ...

 嘿嘿 .. 那是你利害啦 , 我己經 好幾年沒去光華了 我女朋友很恨那種地方 .

不過 不少人 沒有這方面的常識

Encryption 喔 ..  你有聽過一個 李博士的嗎 他們 開發出來的東西 , 在很多地方都可以直接收.

我覺得他們在 破解 這方面的東西 蠻 利害的 . ..  糟要去上班了..  遲到了 鳴鳴~~

改天再聊 881
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

ricky

  • 實習板主
  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
    • Ricky 碎碎唸
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #11 於: 2006-10-30 08:52 »
引述: "FIEND"
引述: "JackYang78"
引述: "FIEND"
引述: "JackYang78"
若我家用的全都是 Switch, 我想 sniffer 也看不到我的  email帳號與密碼吧!!

PS. sniffer 不是都可以看得到封包的 !!



不好意思 口水有點多 ^^!! 耐心看看  ... 我覺得這個話題 不錯 所以多話了

我是 比較 focus 在 系統軟體開發的 程式設計師 對網路沒有很懂

因為這幾年 工作需要 不得已 才研究一點皮毛  .

大家 有好的建議的 也請多給小弟一點意見 ..



switch 是走 layer2 的架構 ,  所以不在 廣撥的 通道上 是看不到的 .

不過 你家很有錢喔 應該是油水很多的單位吧全部 採 layer2 的設備 ... 嘿嘿 .



哈哈...現在應該不太可能買到 HUB 了吧 !!

這個跟你家很有錢這句話應該沒什關係吧 !! ... 反而我想買 HUB 來還買不到!!

還有要用 HUB 去接在主幹..我想這一點就有點難 ?! 你該不會想說,把HUB接起來就可以用 Sniffer 監聽了吧?!  :lol:



^^!! 系喔 hub 買不到啦 嘿嘿  .... 我對這個就不是很懂了 沒機會花錢 .....

不過很多 site 還在 用 hub 啦 , 問他們為什麼不換 每家都跟我哭窮 ... ..

有的學校 光宿舍就 幾千人 用 switch 還真的蠻花錢的 ... 誇張一點的 arp 內可以看到 四五千台電腦在上頭 .

所以 有很多 單位 layer 2 底下 一個 interfaces 會接 幾台 hub 再 轉到 宿舍.. ...

如果 每個 user 都 用一個 layer2 的 port 那 買起來 預算 蠻高的 小弟猜你們單位很小不然就是有錢....

但又不好意思說 你們可能是個小單位  , 就 只好 稱讚你們是 有錢的單位 了

剛我不是有說 LAYER 3  可以 將 各別 interfaces 的 封包 導到同一個 port 做 mirror 嗎

^^!! 算了 我講太多癈話了  hub 接在 骨幹交換器下頭 收封包 真是可愛的說法 我想那台 hub 會爆炸吧 cccc ...... 嗯 .....  嘿嘿 ....

不打口水 戰.. 別挖苦我了 我我對網路沒有很懂 大家 看看就好 ...  

小弟認輸 還是回去我的 php 版 打屁 好了 ccc ..


說到我們公司的辛酸了
之前跟別的公司合作在大陸開設了一間新公司
一開始合作的還蠻愉快的
可是到後來雙方因為一些事鬧的不愉快開始了諜對諜的遊戲
對方開始監控我們內部郵件
把所有連到外部的smtp以及pop3統統轉到日本
然後在從日本丟回台灣
因為資金是他們出我們出技術
所以我這個可憐的MIS連機房都進不去
這個時後不管你用的是switch還是hub
他直接在上端路由劫走嘍
篇篇老闆又下達指令"絕對不准"把mail往來的內容外洩
最後只好玩起加密遊戲
只能強迫user走smtp+TLS,pop3s
讓對方劫得到可是卻看不懂
大概要做到最安全也只能這樣了吧
我的symfony作品:YOMOpets 寵物誌
有興趣可以一起來討論symfony喔
我的部落格:http://ricky.ez2.us/

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #12 於: 2006-10-30 08:58 »
哇哈哈 , 真是狠角色 ..  上班去  .. 今早要開早會 煩 ...
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #13 於: 2006-10-30 09:05 »
引述: "ricky"


說到我們公司的辛酸了
之前跟別的公司合作在大陸開設了一間新公司
一開始合作的還蠻愉快的
可是到後來雙方因為一些事鬧的不愉快開始了諜對諜的遊戲
對方開始監控我們內部郵件
把所有連到外部的smtp以及pop3統統轉到日本
然後在從日本丟回台灣
因為資金是他們出我們出技術
所以我這個可憐的MIS連機房都進不去
這個時後不管你用的是switch還是hub
他直接在上端路由劫走嘍
篇篇老闆又下達指令"絕對不准"把mail往來的內容外洩
最後只好玩起加密遊戲
只能強迫user走smtp+TLS,pop3s
讓對方劫得到可是卻看不懂
大概要做到最安全也只能這樣了吧


smtp+TLS , 我想的確是可以做到

不過,也局限於對方兩邊都有加裝 TLS .... 不見得每一位客戶都會加裝!!

你若是夠大腳.....你是可以要求你的所有廠商都要做 TLS .... 難耶!!
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #14 於: 2006-10-30 09:57 »
後來想了一想 差點被你 虎了 ,

咖啡店 跟 車站 , 還有 一些公共場所 ,

不會做  wpa , 802.1x 等 機制 , 最近聽說又出了 802.1i .

要看你的架構 , 真的不是每個地方都像您這麼有水準把網路搞的這麼嚴格 .

像 wpa 有破解的可能 ..

802.1x 要破解的機會就不大了 , 不過 公共場所做 802.1x 我想沒人會用吧...

別用你公司的環境跟角度 看待小弟的說法啦 .

又不是每個人都像你們這麼有利害 嘿嘿.. 開會去.. ccc
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #15 於: 2006-10-30 10:08 »
套你一個想法...也不要想成每一個企業的網路環境都沒有去用心去解決網路安全這個議題!!

只有不用心的管理者,不重視網路安全&資訊安全的企業,才會如此被入侵卻還不知道!!

我不能保證我的使用者不會去網咖,公共場所,用公眾的網路連回來...
不過我可以保證的是說,一定要用SSL-VPN 連回來..至少現階段是!!
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #16 於: 2006-10-30 10:40 »
謝謝 您的指導  :

... 企業我相信都很認真 ..

不過 有的 公家單位 . 就不與致評了.

我沒有挑戰任何人網路安全的意思, 我只是 說明 網路存在的危機 不知為何採到您的地雷了 .

你講的防護機制 , 不是很多人都懂的 .

除了你之外 很多人 不知道這些小東西 , 如果你不喜歡 我可以不要再來這裡發言.

又開始口水戰了 嘿嘿 ..  開會不認真 開會開會.....
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #17 於: 2006-10-30 10:57 »
那會不喜歡你在此發言...至少我沒有那麼大的權利 !:-Q

只是我表達我的看法而已!!

因為我看到有些[網路的文章]所提到的都是一些段段續續的...作法..
你上面的文章,應該是[轉貼]的吧.... (若我有會錯意,請見諒)..

我只是想要告訴大家,網路安全不簡單,也不要把它看成很脆弱,很容意得手.
我同意,網路資訊安全,所存在的危機...但反觀來看..有人寫病毒,就有人寫防毒不是嘛 ?

很歡迎大家一起表達意見!! ..:-Q
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #18 於: 2006-10-30 14:13 »
引述: "JackYang78"
那會不喜歡你在此發言...至少我沒有那麼大的權利 !:-Q

只是我表達我的看法而已!!

因為我看到有些[網路的文章]所提到的都是一些段段續續的...作法..
你上面的文章,應該是[轉貼]的吧.... (若我有會錯意,請見諒)..

我只是想要告訴大家,網路安全不簡單,也不要把它看成很脆弱,很容意得手.
我同意,網路資訊安全,所存在的危機...但反觀來看..有人寫病毒,就有人寫防毒不是嘛 ?

很歡迎大家一起表達意見!! ..:-Q



我自己寫的 抄別人的我會用 [轉貼]  .....

也許字面上 讓人家覺得太容易得手 讓您有點 意見 .  這點我道歉 .

因為 還是有 不少 重視網路安全 的單位的 .
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
引述: "cyilung"
請問,
如何查出同網段的某台電腦在發垃圾信呢?
有軟體工具或任何方法嗎?


原提問者好像不見了呢... ^_^

不知道可否問一下, 是那種情況的亂法垃圾信呢?
是外面 or 公司內部的人收到呢?

anderson1127

  • 訪客
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #20 於: 2006-10-31 14:41 »
引述: "JackYang78"


哈哈...現在應該不太可能買到 HUB 了吧 !!
這個跟你家很有錢這句話應該沒什關係吧 !! ... 反而我想買 HUB 來還買不到!!

還有要用 HUB 去接在主幹..我想這一點就有點難 ?! 你該不會想說,把HUB接起來就可以用 Sniffer 監聽了吧?!  :lol:


HUB ?? 也不會太難買啦,只是一般的店裡不會擺來賣!! 我大概在今年初在Yahoo
拍賣就買了一台真正的8 port 100M 半雙工的HUB , 仔細在Yahoo拍賣找找
應該還是可以找到的!!

當初以為是具有L2 switch的HUB , 買來一看原來是真正的HUB ,不是L2 switch
笑著說買到寶了!!

PS:廠牌是叫做Linkpro , 是廠商直接將存貨用Yahoo拍賣做直營銷售!!

anderson1127

  • 訪客
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #21 於: 2006-10-31 14:54 »
FIEND兄可能不知道,有錢人的port mirror可以用有錢人的做法,先前都提過了
只要L2 switch 有support Port Mirror就可以開啟, 但是這L2 switch 就真的很貴
嗎? 不一定吧?? 也可以考量中古貨啊....

我的3Com SuperStack 2 3300 24 port就能夠做Port Mirror , 入手價不到3000
現在放在我的LAB中使用(很吵就是了)

那窮人的Port Mirror 也有啊,何必一定要執著於L2 Switch 的Port Mirror , 使用
Layer 1 的HUB就行 , 以我的認知這種HUB在拍賣市場都當做垃圾賣,便宜到不行
賣方因為不識貨,能出脫就算不錯了!! 以我之前在做Trouble Shooting時,身上必備
一台這樣的小HUB , 方便處理這樣的網路問題!!

cyilung

  • 憂鬱的高中生
  • ***
  • 文章數: 132
    • 檢視個人資料
引述: "wilson"
引述: "cyilung"
請問,
如何查出同網段的某台電腦在發垃圾信呢?
有軟體工具或任何方法嗎?


原提問者好像不見了呢... ^_^

不知道可否問一下, 是那種情況的亂法垃圾信呢?
是外面 or 公司內部的人收到呢?


感謝這麼多大大來提供小弟意見。
小弟受益良多。

主要是外面的機構收到垃圾信,
於是我想查出,究竟是內部的哪一台電腦在發。
III-500 384MB ADSL 2M/256K
FreeBSD 6.1 + Apache 2.0.55  + PHP 4.4.1.3-15 +  MYSQL 4.1.16 + Sendmail + clamav0.87.1 + imap-uw + OpenWebmail 2.51

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
引述: "cyilung"
引述: "wilson"
引述: "cyilung"
請問,
如何查出同網段的某台電腦在發垃圾信呢?
有軟體工具或任何方法嗎?


原提問者好像不見了呢... ^_^

不知道可否問一下, 是那種情況的亂法垃圾信呢?
是外面 or 公司內部的人收到呢?


感謝這麼多大大來提供小弟意見。
小弟受益良多。

主要是外面的機構收到垃圾信,
於是我想查出,究竟是內部的哪一台電腦在發。


假設user發信一定是使用你們管的smtp server, 那可以統計一下log,
看user使用的情況大概就可以列出嫌疑犯.

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
引述: "cyilung"


感謝這麼多大大來提供小弟意見。
小弟受益良多。

主要是外面的機構收到垃圾信,
於是我想查出,究竟是內部的哪一台電腦在發。


不知你的 Mail System 架構為何 ? Network 架構又如何 ?

ex. PC Client -----> Relay to Mail Server ---> Internet


or

ex. PC Client ----> ISP Mail relay Server

我想可以從 Router log or Firewall log 都應該可以看出一些 !!
Networking & Communication Security SE

cyilung

  • 憂鬱的高中生
  • ***
  • 文章數: 132
    • 檢視個人資料
引述: "JackYang78"
引述: "cyilung"


感謝這麼多大大來提供小弟意見。
小弟受益良多。

主要是外面的機構收到垃圾信,
於是我想查出,究竟是內部的哪一台電腦在發。


不知你的 Mail System 架構為何 ? Network 架構又如何 ?

ex. PC Client -----> Relay to Mail Server ---> Internet


or

ex. PC Client ----> ISP Mail relay Server

我想可以從 Router log or Firewall log 都應該可以看出一些 !!


我的MAIL Server是FreeBSD6.0 ,Relay有設定,
架構應該就是大大所說的
PC Client -----> Relay to Mail Server ---> Internet

Firewall的log上,
剛好刪去舊的log檔,
現在新log上有用到Port 25的就只有該台mail Server。
其它client端電腦雖有些不明Port,
但我想那應該只是同事們用p2p軟體的原因。
現在就擔心同事所使用的p2p軟體,
造成client端被植入木馬。
不想沒效率地一台一台地去掃毒,捉木馬,
我希望能透過軟體來找出是哪一台電腦所引起的發垃圾信。

由於內部是用private ip,
連出網際網路就是走Firewall的真實IP,
因此,
目前還無法查出是哪台電腦在發垃圾信。


目前在mail server上裝了ntop,
希望可以監控一下內部的ip情況。
要請教一下,
port mirror該如何去做呢?
III-500 384MB ADSL 2M/256K
FreeBSD 6.1 + Apache 2.0.55  + PHP 4.4.1.3-15 +  MYSQL 4.1.16 + Sendmail + clamav0.87.1 + imap-uw + OpenWebmail 2.51

phantom

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 2185
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #26 於: 2006-10-31 17:03 »
假設 mail server 及你所有的 clients 都在同一內部網段。

那你在 FreeBSD 上裝個 ntop,再去看誰送出的資料量大,抓前幾名來看就好啦。

突然想到,信也許不是透過 server 寄的。所以,如果有用 FreeBSD or Linux 做 Gateway,那也要看。
Linux 非萬能, 沒 Linux 萬萬不能.
root = God
apt-get install ultimate-horsepower

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #27 於: 2006-10-31 18:46 »
如果你確定在firewall上只allow你們的smtp server向外寄信,
那在正常的情況下這些垃圾信一定是透過mail server上寄出的, 上面一定會有log,
統計一下maillog可能可以知道那個ip發信異常.

在上述條件下, 個人覺得不需做port mirror.....

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #28 於: 2006-10-31 18:49 »
引述: "wilson"
如果你確定在firewall上只allow你們的smtp server向外寄信,
那在正常的情況下這些垃圾信一定是在mail server上會有log,
那統計一下maillog可能可以知道那個ip發信異常.

在上述條件下, 個人覺得不需做port mirror.....


不好意思 接一下話 ..

因為 一開始 樓主說 要看到自己的環境下 誰的電腦在發垃圾信 .

小弟假想  如果 是上百台電腦的單位 .

這種情況下核發 ip 出去後真的不知道底下的 user 在幹麻

也有可能 user 私 做 mail 伺服器 沒考慮到安全的問題 .

才提供 用 mirror 的方式去 分析 matrix 的 狀況 .

若樓主家裡只有二三台電腦要管理 您的方法 當然是最好的 ^^
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #29 於: 2006-10-31 19:05 »
引述: "FIEND"
引述: "wilson"
如果你確定在firewall上只allow你們的smtp server向外寄信,
那在正常的情況下這些垃圾信一定是在mail server上會有log,
那統計一下maillog可能可以知道那個ip發信異常.

在上述條件下, 個人覺得不需做port mirror.....


不好意思 接一下話 ..

因為 一開始 樓主說 要看到自己的環境下 誰的電腦在發垃圾信 .

小弟假想  如果 是上百台電腦的單位 .

這種情況下核發 ip 出去後真的不知道底下的 user 在幹麻

才提供 用 mirror 的方式去 分析 matrix 的 狀況 .

若樓主家裡只有二三台電腦要管理 您的方法 當然是最好的 ^^


喔~那我補充一下幾個看法,

1.如果需求是針對此次查mail而已, 不管底下client幾台,分析mail log的做法還是較好, 理由是用script即可達成, 不需在production環境下多裝其它軟體, 也不需動設備端做port mirror.
簡單講:mail log都幫我收好了, 只差一個script即可分析. 我不會放著現有資料不看而另外用自己的方法作一份出來.

2.如果針對整體環境進行分析, 是長期的且對像不僅是mail這東西來說, 可能是可以採用整套的做法, 類似網路鑑識的東東來分析整體環境. 可能就得採用port mirror或是從firewall等gateway下手, 若是在上千client環境下要這樣做, 可能就需要專家的建議了來建置了, 因為量那麼大, mirror port撐不撐得了得考量, mirror port底下的機器等級也要算進去..

上述是小弟的想法.....