Temos alguém que continua tentando se conectar ao nosso host de e-mail e, depois de algumas tentativas de fazer login (incorretamente), somos bloqueados. Nós então temos que chamar e desbloquear. A menos que todos desliguem o computador e os dispositivos, existe uma maneira de descobrir quem está usando o nmap ou o wireshark? Obrigado por qualquer ajuda.
Provavelmente você tem uma rede NATted, então seu usuário errante aparecerá no seu host de e-mail como o mesmo endereço de todos os seus usuários.
A solução depende muito da topologia da rede. A melhor opção é encontrar o switch que está conectado à sua conexão externa (mas antes que o NAT ocorra), configure uma porta de espelhamento, conecte um computador a essa porta com o Wireshark e registre algum tráfego. Espero que você consiga capturar o tráfego que está causando um problema.
A honeypot is a network, computer, or other system designed as a trap, to identify "bad people" and watch what they do, in order to learn about how they do it, so that defenses can be built against the attacks which are seen.
Eu recomendo que você configure um servidor honeypot. Se alguém tentar usar o software nmap em seu servidor, redirecione-o para o servidor honeypot.