我们有两个Debian服务器连接到路由器,该路由器是公共网络的一部分。其中之一是基于postfix和dovecote和rouncube的电子邮件服务器。第二个是基于DHCP,DNS,Apache,squid3的系统托管网站,并将网络分发到200个计算机局域网。我们最近收到了来自ISP的电子邮件,附有以下注释。
“我们再次观察到从您的机构到上午时间从各个中国目的地ip的多个外向tcp syn可疑流量。请通知相关团队有关相同的观察结果,以便采取适当措施来遏制此类流量”
考虑到我的局域网用户类型,我们不可能认为我的局域网用户可以故意这样做。
来自我们网络外部的某台计算机是否可以模仿基于来自MY机构的可疑流量的tcp syn?
电子邮件服务器有一些愚蠢的配置错误吗?
答案 0 :(得分:0)
如果您的ISP通知您计算机正在发起流量,那么您可以依赖它来实现。您应该做的是询问有关违规SYN段的更多详细信息,以便您可以设置tcpdump会话以捕获它们,并找出哪些LAN用户行为不端。