以DNS查詢紀錄抓內部網路spammer

話說想到這招時，問一下谷哥，果然跟我說已經有人想到了，
而且果然就是陳昌盛老師~~然後再復習一下當年旁聽他上課的投影片，
心想當年要是不那麼容易睡著，功力能提升更多吧...

昨天區網中心通知本校有個IP在前天被外國網站通報教育部在發spam，
由於我並沒有網路設備權限，所以是轉告給老管理師，
據他們說那個IP算是浮動NAT的對外IP，下面是宿網private ip，
還要找log查那時間誰在用等等...
結果他們好像很忙也沒時間找~.~
而很剛好的因為我上班不久就發現這裡DNS設定問題一堆，所以很快就拿到管理權，
慢慢恢復玩DNS的手感，於是就想到：這種狀況應該是PC中毒，
而發廣告信的程式正常講應該是直接用系統設定的DNS來查寄信目的地吧，
那DNS server一定有一堆該機器向它查外面各網域MX的紀錄...
而事實上也是如此，居然比合法mail server查詢次數多到千倍，馬上就抓到了。

而沒網路設備權限的DNS管理者不但能抓出犯人，也是可以半阻擋當時的攻擊:P
就是把該IP設進blackhole或是直接用防火牆擋讓它查不到要寄到哪，
雖然網路是通的但信不出去就還好～

但其實由DNS server偵測內部攻擊也是要在一些條件下才容易發揮：

一、該DNS server必須為內部網路大多機器使用的。
        通常在學校內就是校級計中設的那幾個、全校通用網路設定教學會提到的那幾個。
        而像系級如交大資科雖然也有系計中自己的DNS server，但主要是供外部查詢用，
        雖然內部伺服器都會設系上的DNS，但系上一般使用者仍設定校計中的DNS，
        也難怪以前都沒想到過，因為這是第一次掌握到多數使用者直接連線查詢的DNS。

二、發廣告信的程式是使用系統設定的DNS而非自定。
        例如現在谷哥提供好記的DNS給大家用，
        不依寄生系統的設定，避免被提早揪出...不知道有沒有木馬病毒先想到了，
        但至少是我寫的話就會注意這點了XD

之後寫個小程式監控log來提早在被通報前抓出並擋掉spammer吧:~

話說連寫技術文章都像流水帳啊啊啊...

久米田在小學館WebSunday的日記復活了XD

從少年Sunday的twitter得知
久米田居然又開始在WebSunday寫日記了!!而且網址和以前的完全一樣，
只是之前的日記都不見了就是...久米田和小學館和好了是嗎XD?
之前聽到改藏要出新裝版時就很訝異，今天新裝版封面也出來了，封面真的重畫耶！：

說是紀念久米田出道二十週年...還有特別企畫，看來又要敗家了QQ~

試著多寫一些文章吧～

老了就開始覺得寫篇文章，擺在誰都能看的地方，就應該要認真寫，
別放流水帳...啊從小就是作文超差，結果部落格老是乾掉...
那些從技術文件開始好了...

其實已經很久沒公開寫電腦相關的文，
主要是覺得其實我會的東西都是到處找官方文件或別人的成果學來的，
又也有不少強者都有在寫了，我何必再多此一舉呢...
不過現在想想，有些人看到英文就頭痛、無法從落落長的官方文件找出他想要的資訊、
有些好文章太久也有不太適用的狀況...
也有可能極少發生的狀況，很難找資料等等，
我就充滿自我意識地貢獻一些東西吧，
順便練習寫些能在現在的單位世世代代傳下去的手套文件吧！