利用科來網(wǎng)絡(luò)回溯分析系統(tǒng)應(yīng)對郵件系統(tǒng)攻擊
作者:科來軟件csna網(wǎng)絡(luò)分析專家 孟召瑞
郵件系統(tǒng)是企業(yè)單位最經(jīng)常使用的網(wǎng)絡(luò)應(yīng)用之一。郵件系統(tǒng)中一般有客戶的關(guān)鍵信息,一旦郵件系統(tǒng)癱瘓或被黑客掌控,那么就會給企業(yè)帶來重大損失。本文兩個案例都是針對郵件服務(wù)器的攻擊案例,希望通過這些實際網(wǎng)絡(luò)案例給大家有所幫助。
郵件系統(tǒng)是企業(yè)單位最經(jīng)常使用的網(wǎng)絡(luò)應(yīng)用之一。郵件系統(tǒng)中一般有客戶的關(guān)鍵信息,一旦郵件系統(tǒng)癱瘓或被黑客掌控,那么就會給企業(yè)帶來重大損失。本文兩個案例都是針對郵件服務(wù)器的攻擊案例,希望通過這些實際網(wǎng)絡(luò)案例給大家有所幫助。
案例環(huán)境
某大型保險公司,郵件系統(tǒng)是該單位使用最為頻繁的系統(tǒng)之一。該單位郵件系統(tǒng)分為兩種:WEB登錄和標準的SMTP POP3協(xié)議收發(fā)方式??苼砘厮菔椒治龇?wù)器部署在數(shù)據(jù)中心的核心交換機上,通過span將DMZ區(qū)的所有服務(wù)器流量引入回溯服務(wù)器進行分析。
案例分析
一、針對郵件系統(tǒng)的暴力破解
某日上午,在進行分析時發(fā)現(xiàn)分公司的一些IP在進行針對郵件服務(wù)器的暴力破解攻擊,發(fā)現(xiàn)后我們立即選擇某一時段數(shù)據(jù)進行分析。首先,對“發(fā)tcp同步包”選項進行排名,發(fā)現(xiàn)IP 10.94.200.66的流量只有9.35MB但“tcp發(fā)送同步包”卻排名第三位,達到了20592個。這種TCP會話很多,流量又特別小的IP通常比較異常。隨后,我們選擇下載分析該IP數(shù)據(jù)包,進行深入分析。下載該IP的通信數(shù)據(jù)后發(fā)現(xiàn),該IP在某日上午對郵件服務(wù)器發(fā)起超過2萬次TCP請求,而且密集時每秒能發(fā)送100多個TCP同步包。
如圖1所示,可看到IP10.94.200.66在很短時間內(nèi)向mail服務(wù)器10.64.4.3做了多次重復(fù)的會話。從行為上來看,10.94.200.66在向mail服務(wù)器進行請求,但又始終不發(fā)送三次握手中最后的ACK數(shù)據(jù)包,這樣導(dǎo)致它與服務(wù)器的TCP會話始終無法建立,而服務(wù)器為了等待200.66回送ACK會消耗一定的系統(tǒng)資源,這樣高頻率的不正常請求訪問,就構(gòu)成對mail服務(wù)器的DOS攻擊。
圖 1 DOS攻擊行為的TCP會話
與此同時,200.66在與服務(wù)器建立的成功會話中也是較大異常的,通過“HTTP日志”分析我們可以發(fā)現(xiàn)以下不正?,F(xiàn)象--- 200.66每次訪問的URL是相同的,且每秒多達10次以上訪問,從該頻率來看不是人為訪問,而是病毒程序自動訪問導(dǎo)致。分析這個URL,發(fā)現(xiàn)打開后是mail服務(wù)器的WEB登錄界面,因此我們可以認為這種行為應(yīng)該是在進行密碼嘗試。
通過以上針對mail服務(wù)器的分析我們發(fā)現(xiàn),網(wǎng)絡(luò)中存在很多針對mail服務(wù)器的不正常會話,這些會話對mail服務(wù)器形成攻擊,以DOS和用戶名密碼的猜測居多,屬于滲透攻擊。這些攻擊猜測行為一旦取得真實的用戶名和密碼,危害極大。
建議加強mail服務(wù)器的防護,并對攻擊者強制殺毒,在防火墻上做一些TCP會話的強制會話時間限制。(例如:在防火墻上做策略,使mail每次TCP會話空閑時間不超過2秒,如果2秒得不到ACK回應(yīng)則重置會話)
二、郵件蠕蟲攻擊
通過以上分析我們發(fā)現(xiàn)網(wǎng)絡(luò)中的郵件服務(wù)器狀況不安全。那么還有沒有其他問題呢?
我們在某單位選擇上午9-10點之間的數(shù)據(jù)(該單位9點上班,郵件系統(tǒng)比較繁忙)進行采樣分析。然后選擇網(wǎng)絡(luò)應(yīng)用中的SMTP進行挖掘分析,在查看會話時我們發(fā)現(xiàn)IP10.82.184.35的會話數(shù)很多,近1小時內(nèi)該IP的SMTP會話到達數(shù)百個,屬于明顯的異?,F(xiàn)象。于是我們選擇將該IP上午9-12點的數(shù)據(jù)包全部下載進行分析。
首先我們打開“tcp會話”發(fā)現(xiàn)最多的是10.82.184.35和mail服務(wù)器10.64.4.3之間的13個數(shù)據(jù)包的會話。如下圖所示:
圖 2 郵件蠕蟲的TCP會話
且該IP還向10.64.4.0發(fā)起請求,但顯然這種IP是不會存在的,所以只有三次SYN包,但沒有任何回應(yīng)。該IP在1分鐘內(nèi)就能發(fā)送近10封內(nèi)容相差不多的郵件,而且這種郵件收信者多是比較大的門戶網(wǎng)站。
該主機在一上午時間內(nèi)發(fā)送了超過2000封類似的郵件,而這么高頻率的發(fā)送顯然不是人工所為。這種情況應(yīng)是該主機中了僵尸程序,然后僵尸程序自動向其他網(wǎng)站發(fā)送大量的垃圾郵件所致。建議對該主機進行殺毒后再接入網(wǎng)絡(luò)。
責(zé)任編輯:鳶瑋
