У нас есть кто-то, кто продолжает пытаться подключиться к нашему почтовому хосту, и после нескольких попыток войти в систему (неправильно) мы затем блокируемся. Затем мы должны позвонить и разблокировать. Меньше, чем когда все отключают компьютер и устройства, есть ли способ узнать, кто использует nmap или wireshark? Спасибо за любую помощь.
2 ответа
6
Предположительно, у вас есть NAT-сеть, поэтому ваш заблудший пользователь выглядит на вашем почтовом узле с тем же адресом, что и все ваши пользователи.
Решение во многом зависит от топологии сети. Лучше всего найти коммутатор, который подключен к внешнему соединению (но до того, как произойдет NAT), настроить зеркальный порт, подключить компьютер к этому порту с помощью Wireshark и зарегистрировать часть трафика. Надеюсь, вы сможете захватить трафик, который вызывает проблемы.
0
Honeypot - это сеть, компьютер или другая система, спроектированная как ловушка, для выявления "плохих людей" и наблюдения за тем, что они делают, для того, чтобы узнать, как они это делают, чтобы можно было построить защиту от видимых атак ,
Я рекомендую вам настроить сервер honeypot. Если кто-то пытается использовать на вашем сервере программное обеспечение, nmap , перенаправьте его на сервер honeypot.