Pop3暴力破解

楼主: s801107 (wjs)   2015-12-01 22:58:27
公司end user与mail server各走不同外部ip不过为相同lan
中华电信通知end user走的外网对mail外网进行攻击,这两个礼拜不断抓封包,皆没发现
有密码破解。
看了中华电信提供的报表,流量为80几byte甚至0Byte
请问
1.会不会有可能中华电信的误判?
2.公司有挡pop3超过三次尝试block,如果真的是攻击那end user不是不能收发了吗?
小弟新手,麻烦前辈了
作者: chang0206 (Eric Chang)   2015-12-02 08:23:00
firewall log 调出来一看就很清楚了吧
作者: magicrex (JohnS)   2015-12-02 11:32:00
挡三次的没特别设定的话靠延长攻击区间就挡不住了同一楼检查log档才能知道真正原因
作者: chang0206 (Eric Chang)   2015-12-02 12:08:00
pop3 brute attack 可以用fail2ban 处理或者找看看 denyhosts 可不可以套用在pop3/imap上
作者: miacp ( )   2015-12-02 12:32:00
firewall跟mail server开log观察一下就知道到底有没有了
楼主: s801107 (wjs)   2015-12-02 12:36:00
目前主要是用wireshark抓,防火墙看到的都是nat后的ip..
作者: shuinedu (成长只有一次)   2015-12-02 15:14:00
你的dhcp开在防火墙前吗 XD
作者: gamecheat   2015-12-02 17:15:00
看不懂? 自己的ip攻击自己mail server吗?你的第二点 通常是block连入ip或该帐号吧
作者: chang0206 (Eric Chang)   2015-12-02 18:01:00
听错地方了?
作者: zaknafein (zak)   2015-12-03 08:28:00
相同的 Network 互相攻击,中华电信怎么会通知你正常来讲封包会经过中华电信那边吗?

Links booklink

Contact Us: admin [ a t ] ucptt.com