使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay

包含Smart Switch/L2 Switch/L3 Switch/L4 Switch.....
ARP病毒的防護,房東的最愛
Wireshark討論區 , Wireshark應用與討論
Sniffer的應用與討論

使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay

文章門神 » 週二 10月 18日, 2011年 1:05 pm

使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay

問題的發生狀況
哇 !!我的Exchange 2003 Server一堆的Q信
我的Exchange Server疑似被猜中帳號密碼,被發了一堆的廣告信
我的Mail Server出現了一堆的廣告信

不用緊張
我們可以使用下列的工幾個工具很快抓出兇手跟原因
工具
UBS-5008具有Port Mirror功能的Switch Hub
圖檔圖檔 CE / FCC

一台Windows有安裝Wireshark的Notebook

Ps:還有另一種方法可以很快找出Relay帳號
http://www.ublink.org/index.php/compone ... -find.html

架構如下

圖檔

UBS-5008設定如下
圖檔

安裝Wireshark的Notebook裝在Port 8
Mirror Port 1的Firewall和Port 2的Mail Server

Wireshark抓一段tcp port 25的
圖檔

圖檔

抓完之後
搜尋 String 是 AUTH LOGIN
AUTH LOGIN是Base64的Login方法
直接找寄信最多的那一組
圖檔

把他Copy到記事本
圖檔

這一串解碼是username
在這解碼
http://www.ublink.org/index.php/new/base64-.html
圖檔

圖檔
這一串才是 janus

Response: 334 VXNlcm5hbWU6\r\n 解出Username:

Command: ZXJpYw==\r\n 解出eric

Response: 334 UGFzc3dvcmQ6\r\n 解出Password:

Command: MTIzNDU2\r\n 解出123456

這樣就可以很快找到被Relay的帳號跟密碼了

以上如果還有其他問題
請洽本公司各區服務處
ps:求助順序請直接
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
頭像
門神
 
文章: 6265
註冊時間: 週五 12月 8日, 2006年 11:10 am
來自: 台中
送出感謝: 16
擁有感謝: 0 次

回到 Switch特殊應用討論專區

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 3 位訪客

cron