科來軟件csna網(wǎng)絡(luò)分析專家 孟召瑞

郵件系統(tǒng)是企業(yè)單位最經(jīng)常使用的網(wǎng)絡(luò)應(yīng)用之一。郵件系統(tǒng)中一般有客戶的關(guān)鍵信息，一旦郵件系統(tǒng)癱瘓或被黑客掌控，那么就會給企業(yè)帶來重大損失。本文兩個案例都是針對郵件服務(wù)器的攻擊案例，希望通過這些實際網(wǎng)絡(luò)案例給大家有所幫助。

一、案例環(huán)境

某大型保險公司，郵件系統(tǒng)是該單位使用最為頻繁的系統(tǒng)之一。該單位郵件系統(tǒng)分為兩種：WEB登錄和標(biāo)準(zhǔn)的 SMTP POP3協(xié)議收發(fā)方式?？苼砘厮菔椒治龇?wù)器部署在數(shù)據(jù)中心的核心交換機(jī)上，通過span將DMZ區(qū)的所有服務(wù)器流量引入回溯服務(wù)器進(jìn)行分析。

二、案例分析

（1）針對郵件系統(tǒng)的暴力破解

某日上午，在進(jìn)行分析時發(fā)現(xiàn)分公司的一些IP在進(jìn)行針對郵件服務(wù)器的暴力破解攻擊，發(fā)現(xiàn)后我立即選擇某一時段數(shù)據(jù)進(jìn)行分析。首先，對“發(fā)tcp同步包”選項進(jìn)行排名，我發(fā)現(xiàn)IP 10.94.200.66的流量只有9.35MB但“tcp發(fā)送同步包”卻排名第三位，達(dá)到了20592個。這種TCP會話很多，流量又特別小的IP通常比較異常。隨后，我選擇下載分析該IP數(shù)據(jù)包，進(jìn)行深入分析。下載該IP的通信數(shù)據(jù)后我發(fā)現(xiàn)，該IP在某日上午對郵件服務(wù)器發(fā)起近超過2萬次TCP請求，而且密集時每秒能發(fā)送100多個TCP同步包。

如圖1所示，可看到IP10.94.200.66在很短時間內(nèi)向mail服務(wù)器 10.64.4.3做了多次重復(fù)的會話。從行為上來看，10.94.200.66在向mail服務(wù)器進(jìn)行請求，但又始終不發(fā)送三次握手中最后的ACK數(shù)據(jù)包，這樣導(dǎo)致它與服務(wù)器的TCP會話始終無法建立，而服務(wù)器為了等待200.66回送ACK會消耗一定的系統(tǒng)資源，這樣高頻率的不正常請求訪問，就構(gòu)成對mail服務(wù)器的DOS攻擊。

圖1 DOS攻擊行為的TCP會話

與此同時，200.66在與服務(wù)器建立的成功會話中也是較大異常的，通過“HTTP日志”分析我們可以發(fā)現(xiàn)以下不正?，F(xiàn)象---200.66每次訪問的URL是相同的，且每秒多達(dá)10次以上訪問，從該頻率來看不是人為訪問，而是病毒程序自動訪問導(dǎo)致。分析這個URL，發(fā)現(xiàn)打開后是mail服務(wù)器的WEB登錄界面，因此我們可以認(rèn)為這種行為應(yīng)該是在進(jìn)行密碼嘗試。

通過以上針對mail服務(wù)器的分析我們發(fā)現(xiàn)，網(wǎng)絡(luò)中存在很多針對mail服務(wù)器的不正常會話，這些會話對mail服務(wù)器形成攻擊，以DOS和用戶名密碼的猜測居多，屬于滲透攻擊。這些攻擊猜測行為一旦取得真實的用戶名和密碼，危害極大。

建議加強(qiáng)mail服務(wù)器的防護(hù)，并對攻擊者強(qiáng)制殺毒，在防火墻上做一些TCP會話的強(qiáng)制會話時間限制（例如：在防火墻上做策略，使mail每次TCP會話空閑時間不超過2秒，如果2秒得不到ACK回應(yīng)則重置會話）。

（2）郵件蠕蟲攻擊

通過以上分析我們發(fā)現(xiàn)網(wǎng)絡(luò)中的郵件服務(wù)器狀況不安全。那么還有沒有其他問題呢？

我們在某單位選擇上午9-10點之間的數(shù)據(jù)（該單位9點上班，郵件系統(tǒng)比較繁忙）進(jìn)行采樣分析。然后選擇網(wǎng)絡(luò)應(yīng)用中的SMTP進(jìn)行挖掘分析，在查看會話時我們發(fā)現(xiàn)IP10.82.184.35的會話數(shù)很多，近1小時內(nèi)該IP的SMTP會話到達(dá)數(shù)百個，屬于明顯的異?，F(xiàn)象。于是我們選擇將該IP上午9-12點的數(shù)據(jù)包全部下載進(jìn)行分析。

首先我們打開“tcp會話”發(fā)現(xiàn)最多的是10.82.184.35和mail服務(wù)器10.64.4.3之間的13個數(shù)據(jù)包的會話。如圖2所示。

圖2 郵件蠕蟲的TCP會話

且該IP還向10.64.4.0發(fā)起請求，但顯然這種IP是不會存在的，所以只有三次SYN包，但沒有任何回應(yīng)。該IP在1分鐘內(nèi)就能發(fā)送近10封內(nèi)容相差不多的郵件，而且這種郵件收信者多是比較大的門戶網(wǎng)站。

該主機(jī)在一上午時間內(nèi)發(fā)送了超過2000封類似的郵件，而這么高頻率的發(fā)送顯然不是人工所為。這種情況應(yīng)是該主機(jī)中了僵尸程序，然后僵尸程序自動向其他網(wǎng)站發(fā)送大量的垃圾郵件所致。建議對該主機(jī)進(jìn)行殺毒后再接入網(wǎng)絡(luò)。