Как я могу найти компьютер в своей сети, которая делает массовые рассылки?

Вы могли соединить концентратор, промежуточный маршрутизатор и Ваша LAN, и затем включить компьютер в концентратор и установить транспортный монитор на нем, такой как монитор сети Microsoft или соединить акулу проводом

http://www.wireshark.org/

Вы затем сможете контролировать все, что продолжается и настроенные фильтры и т.д.

Я также не уверен, как отследить без входа SNMP или netflow. Но рекомендовал бы просто ограничить исходящий трафик SMTP почтовым сервером (серверами)

Ниже принимает IP почтового сервера 192.168.1.2 в сети 192.168.1.0/24

iptables -I FORWARD 1 -p tcp -s 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.1.1/24 --dport 25 -j REJECT

Это было долгое время, так как я играл с DD-WRT, но на большинстве маршрутизаторов бизнес-уровня у них есть способность записать журналу каждый раз, когда правило брандмауэра подобрано.

Я создал бы правило брандмауэра для Порта 25 (предполагающий, что массовая почтовая программа использует стандартный порт SMTP), и заставьте это писать журнал с исходным IP каждый раз, когда это происходит. Должно затем быть довольно легко определить местоположение преступника.

Установите монитор сети или приложение анализатора пакетов для наблюдения то, что продолжается в сети. Необходимо затем смочь выяснить, какая рабочая станция отсылает весь трафик SMTP.Удачи!

Дайте Wireshark попытку - это - то, что наша компания предлагает людям, когда мы сообщаем о таких проблемах им:

http://frontiernet.net/~tech962/findthespambot/index.html