Я - администратор малого предприятия.tcpdump: как отслеживать злоупотребление трафиком SMTP из локальной сети?
Наша компания имеет довольно свободные правила безопасности, несмотря на мои многочисленные рекомендации ... :-) Я не могу контролировать, что установлено на клиентских компьютерах.
Я хотел бы настроить монитор как минимум - предупредил (например, по электронной почте), что спам-письмо происходит из нашего домена ... (проблема уже произошла в прошлом ... :-()
Я в настоящее время приходят на эту команду:.
tcpdump -v -s 1500 -i eth0 port 25 2> /dev/null | grep --line-buffered 'smtp: S' | perl -MPOSIX -pe 'print strftime "%F %T", localtime; print " "; s/(.*?\)) (.*?)\.\d+ \>(.*)/$2/;'
который просто печатает каждое соединение с портом 25 (метку времени и имя клиента)
есть ли надежная проверка я могу выполнять на этом выходе идентифицировать злоупотребление SMTP?
Или есть ли более эффективные подходы к решению этой проблемы?
вы могли видеть, сколько из них происходит в секунду/минуту, сокращая отметку времени, а затем подавая на 'uniq -c' и глядя на счет. когда вы получаете большое количество, предоставьте себе предупреждение. Некоторое вдохновение можно найти [здесь] (http://stackoverflow.com/a/20558267/1967396) – Floris