Τρώες να κυνηγήσουν με ένα δίκτυο γέφυρα sniffenden

Πριν από λίγες ημέρες έλαβα μια κλήση ζητούν βοήθεια. Από ένα εταιρικό δίκτυο LAN με περίπου 10 πελάτες δεν μπορούσαν πλέον να σταλεί e-mail. Όλα τα μηνύματα παραμένουν στην ουρά για την τοπική κολλήσει SMTP, θα πρέπει να το δώσετε σε ένα απομακρυσμένο SMTP με τον πάροχο. Ένα εγχειρίδιο περίοδος λειτουργίας telnet στο SMTP του παροχέα σας έδωσε σύντομα σαφήνεια: «Η IP σας είναι στη μαύρη λίστα στο Spamcop.net 's Spam Database ". Ups. Σκέφτηκα αρχικά κανένα κακό, και υποτίθεται ότι το πρόβλημα προέκυψε λόγω της κακής τύχης κατά την καθημερινή αλλαγή της διεύθυνσης IP από μια εκ των spammer είχαν ανατεθεί. Μετά την επαναφορά mauellen του δρομολογητή ότι αυτή ήταν μια νέα περίοδο έρευνας, το πρόβλημα λύθηκε (τουλάχιστον σκέφτηκα). Τα μηνύματα που βγήκε.

Μία ημέρα αργότερα: "! Δεν μπορούμε να στείλουμε μηνύματα πια" Ω, όχι, ο σταθμός εργασίας έχει ένα trojan. Ο spammer είναι στο LAN. Avira Workstation Pro τρέχει σε όλους τους πελάτες με Windows XP για το LAN και έχει συνήθως λειτουργεί αξιόπιστα. Αυτό είναι ίσως κάτι πήγε στραβά.

Για να μάθετε ποιος είναι ο ένοχος, εγώ μύρισε τον SMTP κίνηση μεταξύ του δρομολογητή DSL και LAN. Δεδομένου ότι όλοι οι πελάτες που συνδέονται με διακόπτες, παθητική ακρόαση στο ίδιο διακόπτη με έναν πελάτη δεν ήταν δυνατό (αυτό είναι δυνατό μόνο με hubs). Έτσι, έχω ένα κουτί Debian, 2 κάρτες δικτύου και 2 διακόπτες χτίστηκε αρκετά δυσκίνητη υποκλοπές. Αυτό για μένα ήταν αυτό το άρθρο σε Heise δίκτυα πολύ χρήσιμο.

Στο τέλος, απλά πρέπει να οσφραίνομαι την καλωδίωση της ψηφοφορίας υπολογιστή, τότε πρέπει να
Δίκτυο Γέφυρα δημιουργούνται:

Οι δύο κάρτες δικτύου σε υπολογιστές ήταν γεφυρωθεί, ώστε η όλη κίνηση στο Internet LAN θα μπορούσε επίσης να ρέει μέσα από την Penguin. Η όσφρηση με το Wireshark σε TCP/25 τότε έφερε γρήγορα τη λύση. Μέσα σε δευτερόλεπτα, ήταν γεμάτη με τα Livelog συνδέσεις SMTP από έναν πελάτη LAN σε εξωτερικούς SMTPs.

Ο ένοχος έχω χρησιμοποιήσει το Σύστημα Διάσωσης Avira εκκίνηση. Το live CD έχει εντοπιστεί ένα Trojan (TR / Trojan.GEN) δεν θα μπορούσε να το διαγράψετε. Έχω ένα μολυσμένο αρχείο (τυχαία system32/drivers όνομα) και στη συνέχεια αφαιρείται με ένα CD του Ubuntu Live. Η εισροή των spam είχε σταματήσει. Δεν έχω δει εδώ και αρκετό καιρό, αλλά νομίζω ότι ο πελάτης είναι και πάλι πλοίαρχος αισθήσεις του.

Πάω να φορές ένα USB ασύρματο NIC πάρει. Στη συνέχεια, όλα πάνε καλά με το σημειωματάριο. Αυτό θα ήταν πολύ πιο άνετα την επόμενη φορά

Η H-Γέφυρα ανιχνευτή:

 apt-get install brctl

 ifconfig eth0 0.0.0.0 promisc arp-up
 ifconfig eth1 0.0.0.0 promisc arp-up
 br0 brctl addbr
 brctl addif br0 eth0
 brctl addif br0 eth1
 ifconfig br0 0.0.0.0-arp promisc μέχρι