使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay

使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay

問題的發生狀況
哇 !!我的Exchange 2003 Server一堆的Q信
我的Exchange Server疑似被猜中帳號密碼,被發了一堆的廣告信
我的Mail Server出現了一堆的廣告信

不用緊張
我們可以使用下列的工幾個工具很快抓出兇手跟原因
工具
UBS-5008具有Port Mirror功能的Switch Hub

CE / FCC

一台Windows有安裝Wireshark的Notebook

Ps:還有另一種方法可以很快找出Relay帳號
http://www.ublink.org/index.php/component/content/article/13-apps/85-mail-god-relay-find.html

架構如下

UBS-5008設定如下

安裝Wireshark的Notebook裝在Port 8
Mirror Port 1的Firewall和Port 2的Mail Server

Wireshark抓一段tcp port 25的

抓完之後
搜尋 String 是 AUTH LOGIN
AUTH LOGIN是Base64的Login方法
直接找寄信最多的那一組

把他Copy到記事本

這一串解碼是username
在這解碼
http://www.ublink.org/index.php/new/base64-.html

這一串才是 janus

Response: 334 VXNlcm5hbWU6\r\n 解出Username:

Command: ZXJpYw==\r\n 解出eric

Response: 334 UGFzc3dvcmQ6\r\n 解出Password:

Command: MTIzNDU2\r\n 解出123456

這樣就可以很快找到被Relay的帳號跟密碼了

以上如果還有其他問題
請洽本公司各區服務處