Ik zit nu bij een klant waar een hoop wormverkeer van binnenuit de externe gateway raakt. Intern wordt er niet gescand op de verschillende mailservers (ja dom, maar ik zit er niet voor niets). De gateway doet al het werk.
Ik krijg een hoop hits voor Netsky en ander worm-geneuzel maar die domein-namen zijn gespoofed (support@symantec.com/info@paypal.com enz.), ik krijg dus niet in de logging naar boven dat die infecties daadwerkelijk van binnen komen.
De mailservers (meerdere platformen) mag en wil ik niet aanraken en ik wil duidelijk aan de klant aangeven wat er aan de hand is op z'n netwerk.
Nu wil ik eigenlijk op via Etherreal of TCPdump (ik heb RedHat- en windowsbakken tot m'n beschikking) een check doen op wormverkeer.
Zou dus iets moeten worden als:
tcpdump -host {alles aan de binnenkant} {gateway} en dan dus wormverkeer.
Zou ik dit nu via poorten moeten doen (netbios?) of is er een slimmere manier?
Suggestions anyone?
Ik krijg een hoop hits voor Netsky en ander worm-geneuzel maar die domein-namen zijn gespoofed (support@symantec.com/info@paypal.com enz.), ik krijg dus niet in de logging naar boven dat die infecties daadwerkelijk van binnen komen.
De mailservers (meerdere platformen) mag en wil ik niet aanraken en ik wil duidelijk aan de klant aangeven wat er aan de hand is op z'n netwerk.
Nu wil ik eigenlijk op via Etherreal of TCPdump (ik heb RedHat- en windowsbakken tot m'n beschikking) een check doen op wormverkeer.
Zou dus iets moeten worden als:
tcpdump -host {alles aan de binnenkant} {gateway} en dan dus wormverkeer.
Zou ik dit nu via poorten moeten doen (netbios?) of is er een slimmere manier?
Suggestions anyone?