Re: Port Connects zaehlen?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 23 Aug 2004 13:43:28 +0200 (CEST)

Eike Bernhardt <eike(at)unorganized.net> wrote:
> Gibt es eine einfache Moeglichkeit, auf einem FreeBSD Server im
> Netzwerk-Traffic mitzuzaehlen, wie viele Connects welche Rechner auf
> welche Ports macht, und da dann bei Auffaelligkeiten eine Nachricht zu
> senden?

Da gibt es -- wie so häufig -- viele Möglichkeiten. Du
kannst z.B. per IPFW alle TCP-Pakete mit SETUP-Bit (das
bei einem Verbindungsaufbau gesetzt ist) zählen. Oder,
wenn Du's genau wissen willst, diese Pakete auch mitloggen
lassen.

> Konkret moechte ich Connect-Versuche auf externe SMTP Ports mitloggen,
> falls sich hier im Wohnheim mal wieder eine Windows-Kiste mit irgendwas
> infiziert hat und versucht, massenhaft Mails zu versendet.

In so einem Szenario würde ich SMTP outgoing komplett sper-
ren. Die User sollten für ausgehende Mails den zentralen
Mailserver verwenden. Das ist die einzig sinnvolle Lösung.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"UNIX was not designed to stop you from doing stupid things,
because that would also stop you from doing clever things."
        -- Doug Gwyn
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 23 Aug 2004 - 13:43:55 CEST

search this site