如何分析邮件系统遭受的攻击行为 -10bet十博欢迎您
邮件系统是信息化使用频率最高的业务系统之一,大量的信息是通过邮件进行沟通和共享的,由于这些信息都非常有价值,所以也成为被攻击的主要目标。
15.1 环境描述
客户为某大型保险公司,邮件系统是该单位使用最为频繁的系统之一。该单位邮件系统分为两种:web登录方式和使用标准的smtp、pop3协议收发方式。科来网络回溯分析系统部署在数据中心的核心交换机上,通过span将dmz区的所有服务器流量引入回溯系统进行采集和分析。
15.2 针对暴力破解邮件系统分析
在9月20日,针对该用户的流量数据进行网络分析时,发现其分公司的一些ip在针对邮件服务器进行暴力破解攻击。我们选择2天的时间窗口,然后选择其中9月19日上午的数据进行分析。点击“发tcp同步包”选项进行排名,我们发现ip x.x.200.66的流量只有9.35mb,但“tcp发送同步包”却排名第三位,达到了20592个。这种tcp会话很多,流量又特别小的ip比较异常。我们选择下载分析该ip数据包,进行深入分析。
下载该ip的通信数据后,我们发现该ip在9月19日上午对邮件服务器发起超过2万次tcp请求,而且密集时候每秒能发送100多个tcp同步包,如下图所示。
图 15-1
在下图中,我们可以看到ipx.x.200.66,在很短时间内向邮件服务器x.x.4.3做了多次重复的会话。从行为上来看,x.x.200.66在向邮件服务器进行请求,但又始终不发送三次握手中最后的ack数据包。这样导致它与服务器的tcp会话始终无法建立,而且服务器为了等待x.x.200.66回送ack,会消耗一定的系统资源。这样高频率、不正常的请求访问,就造成了对mail服务器的攻击。
图 15-2
而x.x.200.66在与服务器建立的成功的会话中,是有较大异常情况。通过“http日志”分析我们可以看到以下不正常现象,如下图所示。
图 15-3
我们看到,x.x.200.66每次访问的url是一模一样的,而且出现每秒钟多达10次以上的访问。从该频率看,不是人为访问,应该是病毒程序自动访问导致。分析这个url发现,打开后是邮件服务器的web登录界面。因此,我们可以判断这种行为应该是在进行密码尝试。
本次分析同时发现,服务器段的ip x.x.5.2也在向邮件服务器进行密码尝试行为,如下面两幅图所示。
图 15-4
图 15-5
通过以上针对邮件服务器数据的分析,我们发现网络中存在很多针对邮件服务器的不正常会话,这些会话对邮件服务器形成了攻击。攻击以和用户名密码的猜测较多,属于渗透攻击。
这些攻击猜测行为,一旦被取得真实的用户名和密码后,就能够对邮件服务器做数据偷窃,那么每封邮件的信息将会没有秘密可言。如果黑客通过攻击得到了邮件服务器的用户名和密码,就可以潜伏到网络中侦听他想要的信息,造成信息窃密事件的发生,对公司业务造成损失。
建议加强邮件服务器的防护,并对攻击者强制杀毒。同时,在防火墙上做一些tcp会话的强制会话时间限制。例如:在防火墙上做策略,使邮件每次tcp会话空闲时间不超过2秒,如果2秒得不到ack回应则重置会话。
15.3 针对邮件蠕虫攻击分析
通过以上分析,我们发现网络中的邮件服务器的状况不太安全。那么,是否还存在其他问题呢?
由于邮件服务器的数据量很大,每天有超过10gb的流量,因此我们决定使用采样分析的方法,对邮件服务器进行数据采样分析。我们选择上午9-10点之间数据(该单位9点上班,邮件系统比较繁忙)。然后,选择网络应用中的smtp进行挖掘分析。在查看会话时,我们发现ip10.82.184.35的会话数很多,在近1小时内该ip的smtp会话到达几百个。明显的异常现象。于是,我们选择将该ip一上午的数据包,全部下载分析。
科来网络分析工程师打开“tcp会话”,看到最多的是x.x.184.35和邮件服务器x.x.4.3之间的13个数据包的会话。
图 15-6
该ip还向x.x.4.0发起请求,但接收方ip并不存在,所以只有三次syn包,没有任何回应。x.x.184.35在1分钟内,就能发送近10封内容相似的邮件,而且这种邮件收信者多是比较大的门户网站,如下图所示。
图 15-7
统计发现,该主机在一上午时间内发送了超过2000封类似的邮件。而这么高频率的发送显然不是人工所为。产生这种现象的原因应该是该主机中了僵尸程序,然后僵尸程序自动向其他网站发送大量的垃圾邮件所致。建议对该主机进行杀毒后再接入网络。
15.4 价值
邮件系统,是企业单位经常遭受攻击的网络应用,如本文中针对邮件系统的攻击。面对此类攻击事件,科来网络回溯分析系统可对网络通讯流量进行实时记录及保存,通过网络流量分析技术实现对关键业务系统中行为异常的秒级发现,精准定位异常原因,提高邮件系统安全保障能力。