作者:
s801107 (wjs)
2016-06-30 22:15:30公司有租用中華電信資安艦隊的服務,目前使用者上網與Mail分別走不同的線路
(使用者上網NAT下約60人,Mail線路NAT下只有Mail Server)
不時收到資安艦隊的週報表,顯示有內對外攻擊的情況。
且使用者上網和mail的IP都有這情況。
目前是打算使用mirror port再搭配側錄封包軟體至少可以看出source IP是誰
其中有個攻擊事件感到很不解
常常會有mail server對google或中華電信DNS 做DNS-Message-Decompress-DOS-1這攻擊
不過流量都是0Byte。有人理解為什麼攻擊流量會是0Byte嗎
抱歉小弟不才,剛畢業,請前輩們開示了
作者:
s801107 (wjs)
2016-06-30 22:16:00補充一下對8.8.8.8 168.95.1.1目標都是53port
作者: sssxyz (只出沒大佳基隆河左岸) 2016-07-01 08:36:00
action是pass還是block?貌似第一個packet就block所以顯示0 byte
作者:
gust0985 (還在努力到人生下一階段)
2016-07-01 10:54:00就已經擋掉了,當然是0
作者: sssxyz (只出沒大佳基隆河左岸) 2016-07-01 21:23:00
比方像是?
作者: rodchi (Rod) 2016-07-03 00:56:00
直接查Firewall log就可以了吧,應該不用再sniffer才是?