Hallo,
in "meinem" Windows-Netzwerk (win2k + samba3.0.25 Server) sendet jemand Rundfunknachrichten. Das wäre nicht weiter schlimm, aber dank solcher Tools wie Message-Bob lässt sich
1.: der Absender verschleiern,
2.: die Zahl der Nachrichten eingeben.
In der Folge bekommen hier Leute 1000 und mehr Nachrichten von unbekannt.
Da das AFAIK Broadcasts sind, müssten die doch auch auf meiner Linux-Box ankommen, oder? Folglich müsste man deren Erhalt doch irgendwie (iptables, ethereal) protokollieren können, oder?
Weiß jemand, wie man die von normalen SMB-Datenpaketen unterscheiden kann?

Danke,
mamue

P.S.: Den Nachrichtendienst kann ich nicht mal eben so ausschalten - leider.

Ich habe jetzt ersteinmal in der Samba-config den Eintrag:


message command = /bin/mail -s "SMB-Nachricht von %f auf %m an %t" administrator <%s; rm %s

eingefügt.
Ich hoffe, damit auch broadcasts zu erwischen, kann es aber jetzt nicht testen.
Das Tool zum massenhaften Versenden heißt übrigens soweit ich das sehe "nsend". Ob ich jetzt auch tausend Mails bekomme...
mamue

keine Lösung aber ein Tipp:

Ein nettes Toolset um den kompletten Netzwerkverkehr bis auf Sessionebene runter zu monitoren ist OSSIM, gibts auch als fertiges VMWare Image.

http://www.ossim.net/

Wenns dir nur um die net sends geht ists definitiv oversized, das VMWare Image hat zudem auch einige macken - unbedingt die Doku dazu lesen bevor man irgendwas anpackt...

mfg
cane

Die Lösung mit dem "message command" funktioniert genau bei Broadcasts nicht (net send * Hallo).
OSSIM scheint mir wirklich etwas zu groß geraten für diesen Zweck, zumal ich das eigentlich morgen laufen lassen wollte, denn ich nehme an, dass dieses Spiel morgen seine Fortsetzung finden wird :(

Danke,
mamue

Hallo

Ich hab mal ethereal mitlaufen lassen. Ich würde sagen du findest den Absender wenn du den Port 139 überwachst ( Filterregel: tcp.port == 139).