有人一直试图连接到我们的电子邮件主机,在尝试登录(错误)几次后,我们就被阻止了。然后我们必须打电话解除阻止。除了让每个人都关闭他们的计算机和设备外,有没有办法使用 nmap 或 wireshark 找出是谁?谢谢您的帮助。
答案1
假设您有一个 NATted 网络,因此您的错误用户对您的电子邮件主机来说会显示为与所有用户相同的地址。
解决方案很大程度上取决于网络的拓扑结构。最好的办法是找到连接到外部连接的交换机(但在 NAT 发生之前),配置镜像端口,使用 Wireshark 将计算机连接到该端口,然后记录一些流量。希望您能够捕获导致问题的流量。
答案2
从设置蜜罐:
蜜罐是一种设计为陷阱的网络、计算机或其他系统,用于识别“坏人”并观察他们的行为,以了解他们是如何做到的,这样就可以针对所看到的攻击建立防御措施。
我建议你设置一个蜜罐服务器。如果有人试图nmap在你的服务器上使用类似软件,就将他重定向到蜜罐服务器。