Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Capture packet trên UTM SRX-650

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Capture packet trên UTM SRX-650

    Dear các bro. tình hình là nhà em dùng con UTM này làm gateway luôn và thời gian vừa rồi trong mạng lan nhà em có hiện tượng gửi spam ra ngoài và attrack 1 server khác và ISP báo blacklist địa chỉ IP public nhà em.
    Em muốn hỏi là làm sao để em có thể capture được các packet từ con UTM này qua in - out interfaces để xác định ai là người gửi spam trong mạng Lan ra ạ, em có khoảng 500 - 600 user nên rất nan giải. Help ASAP plz!

  • #2
    mail server em dùng là MS Exchange à?
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment


    • #3
      Originally posted by dangquangminh View Post
      mail server em dùng là MS Exchange à?
      Không anh ạ. nhà em đặt mail server tại data center bên ngoài cty nên ko ảnh hưởng gì và cũng loại trừ ngay là do mail server. việc gửi spam này cụ thể là attrack vào 1 server tại nước ngoài qua port ftp và vấn đề là cả 1 dải IP/24 cùng với dải của nhà em của VNPT đều bị blacklist vì việc này và nó ảnh hưởng đến nhiều người.Zz

      Comment


      • #4
        trước mắt em chặn cái FTP, rồi đọc log xem client IP nào dùng FTP.

        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          [QUOTE=dangquangminh;318059]trước mắt em chặn cái FTP, rồi đọc log xem client IP nào dùng FTP.

          /QUOTE]
          Thank Bro.
          FTP trên UTM nhà em thì disabe rồi ạ.
          dns disable;
          ftp disable;
          h323 disable;
          mgcp disable;
          msrpc disable;
          sunrpc disable;
          real disable;
          rsh disable;
          rtsp disable;
          sccp disable;
          sip disable;
          sql disable;
          talk disable;
          tftp disable;
          pptp disable;
          Vấn đề là theo log nó gửi thì có 1 local nào đấy tấn công nhà cụ thể là vào cổng ftp :21 :Apr 3 21:14:38 h0126 proftpd[31883]: 127.0.0.1 (203.162.129.122[203.162.129.122]) - USER xxxx: no such user found from 203.162.129.122 [203.162.129.122] toxxx:21
          Apr 3 21:14:40 h0126 proftpd[31884]: 127.0.0.1 (203.162.129.122[203.162.129.122]) - USER
          log như thế này anh ạ. em chưa post được link nên ko hiển thị được cái destination đấy.
          Thú thực là em đã từng cùng mấy anh em DDOS Ampli NTP port 123 1 số thằng khác nhưng không phải trường hợp này. Trường hợp này em chưa biết dư lào.@@

          Comment

          Working...
          X