作者 主題: 【請教】如何查出同一網段的該台電腦被入侵?  (閱讀 33633 次)

0 會員 與 1 訪客 正在閱讀本文。

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #30 於: 2006-10-31 19:08 »
呵 ^^ 那小弟再補充一下 , 如果真的一定要 mirror

有的設備 有 支援 sflow 跟 netflow 如果 大家覺得 mirror 封包 太重了

sflow 跟 netflow 的 loding 會輕很多, 因為它只取想要的資料 也可以看出 matrix 的異常

相對的會輕很多 .
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

cyilung

  • 憂鬱的高中生
  • ***
  • 文章數: 132
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #31 於: 2006-10-31 20:17 »
引述: "wilson"
如果你確定在firewall上只allow你們的smtp server向外寄信,
那在正常的情況下這些垃圾信一定是透過mail server上寄出的, 上面一定會有log,
統計一下maillog可能可以知道那個ip發信異常.

在上述條件下, 個人覺得不需做port mirror.....


請問wilson版主,
在freebsd上分析maillog,
是否就是用awstat來分析呢?

或是有更好的方式呢?
III-500 384MB ADSL 2M/256K
FreeBSD 6.1 + Apache 2.0.55  + PHP 4.4.1.3-15 +  MYSQL 4.1.16 + Sendmail + clamav0.87.1 + imap-uw + OpenWebmail 2.51

Vic~

  • 活潑的大學生
  • ***
  • 文章數: 231
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #32 於: 2006-10-31 21:42 »
小弟最近也在學習怎麼看sendmail的log,
可以方便快速的找出問題所在。

目前都是以awk + grep的方式,
慢慢地消去那些認為是OK的訊息,
也能漸漸地找到自己想要的資訊,
並且加以調整系統的設定,
以後碰到問題時,
就先查一查這些關鍵字是否有出現?

對於問題的處理,
所花的時間也相對地減少喔。

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #33 於: 2006-11-01 00:33 »
引述: "cyilung"
引述: "wilson"
如果你確定在firewall上只allow你們的smtp server向外寄信,
那在正常的情況下這些垃圾信一定是透過mail server上寄出的, 上面一定會有log,
統計一下maillog可能可以知道那個ip發信異常.

在上述條件下, 個人覺得不需做port mirror.....


請問wilson版主,
在freebsd上分析maillog,
是否就是用awstat來分析呢?

或是有更好的方式呢?


軟體的部份我不清楚耶, 你可以參考鳥哥那偏分析登錄檔的文章,
我記得有一部份是在提maillog的, 拿來改一下應該就可以了.
或是問問大家有沒有好用的工具可用.......

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #34 於: 2006-11-19 14:46 »
嘿嘿 做網管的好像對 mirror 的流量都很害怕 .

^^ 我想 是不了解程式吧

小弟不好在這個版發表什麼了

不過 mirror 封包 經驗和實測上 應該沒想像中的可怕 ^^!!

而且 port mirror 底下那台機器沒掛 可能 switch 會先掛吧 .

應該要考慮的是 mirror 到 port 的 loding  ^^
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #35 於: 2006-11-19 15:02 »
當網管的不會怕 Mirror Port ,只是沒有必要開此功能 !!
Networking & Communication Security SE

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #36 於: 2006-11-19 15:13 »
引述: "JackYang78"
當網管的不會怕 Mirror Port ,只是沒有必要開此功能 !!


^^ 沒關係 嘿嘿 ..  大家看法不同 .

不過我接觸十個 site 九個都會問 會不會 受不了 .

我的見解是 好像都很怕 .

沒必要開 見人見智囉 .. site 的事其實很複雜 有沒有必要 讓專業去評斷
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
【請教】如何查出同一網段的該台電腦被入侵?
« 回覆 #37 於: 2006-11-19 21:52 »
不同的需求有不同的做法, 在不是唯一解的情況下, 我覺得不需要把問題複雜化,
不管多瞭解狀況, 只要有動作, 就有誤動作的機率, 換來的不是解決問題, 而可能會是上台報告.
(當然, 如果所在環境是可以"玩"的, 那就當練功吧....)