網(wǎng)絡(luò)分析技術(shù)通過對網(wǎng)絡(luò)原始數(shù)據(jù)的主動分析,能夠從大流量中快速發(fā)現(xiàn)網(wǎng)絡(luò)異常行為,大大提升了用戶對網(wǎng)絡(luò)威脅的感知能力,同時能夠還原完整的攻擊行為,快速定位攻擊者,確定攻擊手段并評估影響。
科來網(wǎng)絡(luò)分析專家在對某法院外網(wǎng)進行一次網(wǎng)絡(luò)健康檢查服務(wù)中,在其核心交換機上部署了科來網(wǎng)絡(luò)回溯分析系統(tǒng),通過在總出口鏡像將網(wǎng)絡(luò)流量導(dǎo)入回溯分析設(shè)備。
通過科來網(wǎng)絡(luò)回溯分析系統(tǒng)捕獲一段時間的數(shù)據(jù),發(fā)現(xiàn)1個IP地址異常,可以看到XX.XXX.26.203地址共建立會話300多個,但是建立成功后會話報文都是小包,平均包長99B。
下載此數(shù)據(jù)包進行深入分析,第一步查看IP會話列表。如下圖:
通過上圖仔細查IP會話,發(fā)現(xiàn)XX.XXX.26.203在與XXX.XXX.35.53(數(shù)據(jù)庫服務(wù)器)通訊。數(shù)據(jù)包基本上是發(fā)送5個接收4個,數(shù)據(jù)包小,時間短暫、頻快。正常情況下同數(shù)據(jù)庫通訊時,當(dāng)會話成功建立后數(shù)據(jù)庫會發(fā)送數(shù)據(jù),特點:數(shù)據(jù)包偏大、時間長、頻率稍微慢。通過以往的經(jīng)驗告訴我,可能是外網(wǎng)用戶在攻擊本網(wǎng)絡(luò)中的數(shù)據(jù)庫,攻擊者利用MSSQL的TCP 1433號端口,不斷嘗試利用弱口令嘗試,如果成功的話就能獲得目標(biāo)主機的權(quán)限。為了進一步驗證判斷,接下第二步來查看TCP會話的數(shù)據(jù)流。如下圖:
針對上圖眾多的會話可以看到,該地址對SQL SERVER每次會話掃描8到10報文不等,選擇其中一個會話,查看數(shù)據(jù)流,發(fā)現(xiàn)攻擊者果真正在嘗試sa口令。
進行第三步分析,查看TCP會話時序圖。雙方會話建立成功后通訊數(shù)據(jù)很少,服務(wù)器在回應(yīng)對方的嘗試后,立刻終止了此會話,通過仔細查看300多個會話推測這些嘗試并沒有成功。由此斷定數(shù)據(jù)庫服務(wù)器(XXX.XXX.35.53)遭到外網(wǎng)地址攻擊。后和網(wǎng)絡(luò)管理員溝通,得知此地址確實是外網(wǎng)網(wǎng)站地址的數(shù)據(jù)庫地址。為了進一步的安全考慮,嘗試用站長工具進行一此端口掃描,查看網(wǎng)絡(luò)中還有那些端口是打開著的。發(fā)現(xiàn)有3個端口是開放的,而且是黑客常攻擊的端口,居然赤裸裸的出現(xiàn)在公網(wǎng)上!為了進一步弄清XX.XXX.26.203這個地址,登陸到站長工具查看居然是韓國的地址。然后進行對其一次端口掃描如圖:其3389端口也打開了,遠程登陸試試!對話框中顯示“輸入的用戶名或密碼不正確,請重新輸入”。
端口掃描是網(wǎng)絡(luò)中較為常見的行為之一,端口掃描是指端口發(fā)送消息,一次只發(fā)送一個消息。接收到的回應(yīng)類型表示是否在使用該端口并且可由此探尋弱點。
由此網(wǎng)絡(luò)管理員通過端口掃描,可以得到許多有用的信息,從而發(fā)現(xiàn)系統(tǒng)的安全漏洞,然后修補漏洞、制定完善的安全策略。當(dāng)然也不排除是黑客攻擊網(wǎng)絡(luò)設(shè)備邁出的第一步棋子。
由于此次抓包時間較短,未能完全將黑客的行為及結(jié)果分析透徹,如果黑客繼續(xù)攻擊有可能成功破解數(shù)據(jù)庫密碼,給用戶帶來不可估量損失。
因此建議網(wǎng)絡(luò)管理員在防火墻上做安全策略,拒絕外網(wǎng)用戶訪問MSSQL的1433端口,只對內(nèi)部網(wǎng)絡(luò)用戶開放。另外對FTP的21和遠程登陸為3389的端口拒絕外網(wǎng)訪問或者關(guān)掉。
成都科來軟件有限公司
電話:400-6869-069 010-82601814
網(wǎng)址:www.colasoft.com.cn
論壇:www.csna.cn