科來軟件csna網(wǎng)絡(luò)分析專家 孟召瑞

郵件系統(tǒng)是企業(yè)單位最經(jīng)常使用的網(wǎng)絡(luò)應(yīng)用之一。郵件系統(tǒng)中一般有客戶的關(guān)鍵信息，一旦郵件系統(tǒng)癱瘓或被黑客掌控，那么就會(huì)給企業(yè)帶來重大損失。本文兩個(gè)案例都是針對(duì)郵件服務(wù)器的攻擊案例，希望通過這些實(shí)際網(wǎng)絡(luò)案例給大家有所幫助。

一、案例環(huán)境

某大型保險(xiǎn)公司，郵件系統(tǒng)是該單位使用最為頻繁的系統(tǒng)之一。該單位郵件系統(tǒng)分為兩種：WEB登錄和標(biāo)準(zhǔn)的 SMTP POP3協(xié)議收發(fā)方式?？苼砘厮菔椒治龇?wù)器部署在數(shù)據(jù)中心的核心交換機(jī)上，通過span將DMZ區(qū)的所有服務(wù)器流量引入回溯服務(wù)器進(jìn)行分析。

二、案例分析

（1）針對(duì)郵件系統(tǒng)的暴力破解

某日上午，在進(jìn)行分析時(shí)發(fā)現(xiàn)分公司的一些IP在進(jìn)行針對(duì)郵件服務(wù)器的暴力破解攻擊，發(fā)現(xiàn)后我立即選擇某一時(shí)段數(shù)據(jù)進(jìn)行分析。首先，對(duì)“發(fā)tcp同步包”選項(xiàng)進(jìn)行排名，我發(fā)現(xiàn)IP 10.94.200.66的流量只有9.35MB但“tcp發(fā)送同步包”卻排名第三位，達(dá)到了20592個(gè)。這種TCP會(huì)話很多，流量又特別小的IP通常比較異常。隨后，我選擇下載分析該IP數(shù)據(jù)包，進(jìn)行深入分析。下載該IP的通信數(shù)據(jù)后我發(fā)現(xiàn)，該IP在某日上午對(duì)郵件服務(wù)器發(fā)起近超過2萬次TCP請(qǐng)求，而且密集時(shí)每秒能發(fā)送100多個(gè)TCP同步包。

如圖1所示，可看到IP10.94.200.66在很短時(shí)間內(nèi)向mail服務(wù)器 10.64.4.3做了多次重復(fù)的會(huì)話。從行為上來看，10.94.200.66在向mail服務(wù)器進(jìn)行請(qǐng)求，但又始終不發(fā)送三次握手中最后的ACK數(shù)據(jù)包，這樣導(dǎo)致它與服務(wù)器的TCP會(huì)話始終無法建立，而服務(wù)器為了等待200.66回送ACK會(huì)消耗一定的系統(tǒng)資源，這樣高頻率的不正常請(qǐng)求訪問，就構(gòu)成對(duì)mail服務(wù)器的DOS攻擊。

圖1 DOS攻擊行為的TCP會(huì)話

與此同時(shí)，200.66在與服務(wù)器建立的成功會(huì)話中也是較大異常的，通過“HTTP日志”分析我們可以發(fā)現(xiàn)以下不正?，F(xiàn)象---200.66每次訪問的URL是相同的，且每秒多達(dá)10次以上訪問，從該頻率來看不是人為訪問，而是病毒程序自動(dòng)訪問導(dǎo)致。分析這個(gè)URL，發(fā)現(xiàn)打開后是mail服務(wù)器的WEB登錄界面，因此我們可以認(rèn)為這種行為應(yīng)該是在進(jìn)行密碼嘗試。

通過以上針對(duì)mail服務(wù)器的分析我們發(fā)現(xiàn)，網(wǎng)絡(luò)中存在很多針對(duì)mail服務(wù)器的不正常會(huì)話，這些會(huì)話對(duì)mail服務(wù)器形成攻擊，以DOS和用戶名密碼的猜測(cè)居多，屬于滲透攻擊。這些攻擊猜測(cè)行為一旦取得真實(shí)的用戶名和密碼，危害極大。

建議加強(qiáng)mail服務(wù)器的防護(hù)，并對(duì)攻擊者強(qiáng)制殺毒，在防火墻上做一些TCP會(huì)話的強(qiáng)制會(huì)話時(shí)間限制（例如：在防火墻上做策略，使mail每次TCP會(huì)話空閑時(shí)間不超過2秒，如果2秒得不到ACK回應(yīng)則重置會(huì)話）。

（2）郵件蠕蟲攻擊

通過以上分析我們發(fā)現(xiàn)網(wǎng)絡(luò)中的郵件服務(wù)器狀況不安全。那么還有沒有其他問題呢？

我們?cè)谀硢挝贿x擇上午9-10點(diǎn)之間的數(shù)據(jù)（該單位9點(diǎn)上班，郵件系統(tǒng)比較繁忙）進(jìn)行采樣分析。然后選擇網(wǎng)絡(luò)應(yīng)用中的SMTP進(jìn)行挖掘分析，在查看會(huì)話時(shí)我們發(fā)現(xiàn)IP10.82.184.35的會(huì)話數(shù)很多，近1小時(shí)內(nèi)該IP的SMTP會(huì)話到達(dá)數(shù)百個(gè)，屬于明顯的異常現(xiàn)象。于是我們選擇將該IP上午9-12點(diǎn)的數(shù)據(jù)包全部下載進(jìn)行分析。

首先我們打開“tcp會(huì)話”發(fā)現(xiàn)最多的是10.82.184.35和mail服務(wù)器10.64.4.3之間的13個(gè)數(shù)據(jù)包的會(huì)話。如圖2所示。

圖2 郵件蠕蟲的TCP會(huì)話

且該IP還向10.64.4.0發(fā)起請(qǐng)求，但顯然這種IP是不會(huì)存在的，所以只有三次SYN包，但沒有任何回應(yīng)。該IP在1分鐘內(nèi)就能發(fā)送近10封內(nèi)容相差不多的郵件，而且這種郵件收信者多是比較大的門戶網(wǎng)站。

該主機(jī)在一上午時(shí)間內(nèi)發(fā)送了超過2000封類似的郵件，而這么高頻率的發(fā)送顯然不是人工所為。這種情況應(yīng)是該主機(jī)中了僵尸程序，然后僵尸程序自動(dòng)向其他網(wǎng)站發(fā)送大量的垃圾郵件所致。建議對(duì)該主機(jī)進(jìn)行殺毒后再接入網(wǎng)絡(luò)。