亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        科來助你快速定位攻擊者

        2016-11-26 11:27:06
        網(wǎng)絡(luò)安全和信息化 2016年6期
        關(guān)鍵詞:網(wǎng)絡(luò)管理員攻擊者數(shù)據(jù)包

        網(wǎng)絡(luò)分析技術(shù)通過對網(wǎng)絡(luò)原始數(shù)據(jù)的主動分析,能夠從大流量中快速發(fā)現(xiàn)網(wǎng)絡(luò)異常行為,大大提升了用戶對網(wǎng)絡(luò)威脅的感知能力,同時能夠還原完整的攻擊行為,快速定位攻擊者,確定攻擊手段并評估影響。

        環(huán)境描述

        科來網(wǎng)絡(luò)分析專家在對某法院外網(wǎng)進行一次網(wǎng)絡(luò)健康檢查服務(wù)中,在其核心交換機上部署了科來網(wǎng)絡(luò)回溯分析系統(tǒng),通過在總出口鏡像將網(wǎng)絡(luò)流量導(dǎo)入回溯分析設(shè)備。

        分析過程

        通過科來網(wǎng)絡(luò)回溯分析系統(tǒng)捕獲一段時間的數(shù)據(jù),發(fā)現(xiàn)1個IP地址異常,可以看到XX.XXX.26.203地址共建立會話300多個,但是建立成功后會話報文都是小包,平均包長99B。

        下載此數(shù)據(jù)包進行深入分析,第一步查看IP會話列表。如下圖:

        通過上圖仔細查IP會話,發(fā)現(xiàn)XX.XXX.26.203在與XXX.XXX.35.53(數(shù)據(jù)庫服務(wù)器)通訊。數(shù)據(jù)包基本上是發(fā)送5個接收4個,數(shù)據(jù)包小,時間短暫、頻快。正常情況下同數(shù)據(jù)庫通訊時,當(dāng)會話成功建立后數(shù)據(jù)庫會發(fā)送數(shù)據(jù),特點:數(shù)據(jù)包偏大、時間長、頻率稍微慢。通過以往的經(jīng)驗告訴我,可能是外網(wǎng)用戶在攻擊本網(wǎng)絡(luò)中的數(shù)據(jù)庫,攻擊者利用MSSQL的TCP 1433號端口,不斷嘗試利用弱口令嘗試,如果成功的話就能獲得目標(biāo)主機的權(quán)限。為了進一步驗證判斷,接下第二步來查看TCP會話的數(shù)據(jù)流。如下圖:

        針對上圖眾多的會話可以看到,該地址對SQL SERVER每次會話掃描8到10報文不等,選擇其中一個會話,查看數(shù)據(jù)流,發(fā)現(xiàn)攻擊者果真正在嘗試sa口令。

        進行第三步分析,查看TCP會話時序圖。雙方會話建立成功后通訊數(shù)據(jù)很少,服務(wù)器在回應(yīng)對方的嘗試后,立刻終止了此會話,通過仔細查看300多個會話推測這些嘗試并沒有成功。由此斷定數(shù)據(jù)庫服務(wù)器(XXX.XXX.35.53)遭到外網(wǎng)地址攻擊。后和網(wǎng)絡(luò)管理員溝通,得知此地址確實是外網(wǎng)網(wǎng)站地址的數(shù)據(jù)庫地址。為了進一步的安全考慮,嘗試用站長工具進行一此端口掃描,查看網(wǎng)絡(luò)中還有那些端口是打開著的。發(fā)現(xiàn)有3個端口是開放的,而且是黑客常攻擊的端口,居然赤裸裸的出現(xiàn)在公網(wǎng)上!為了進一步弄清XX.XXX.26.203這個地址,登陸到站長工具查看居然是韓國的地址。然后進行對其一次端口掃描如圖:其3389端口也打開了,遠程登陸試試!對話框中顯示“輸入的用戶名或密碼不正確,請重新輸入”。

        分析結(jié)論

        端口掃描是網(wǎng)絡(luò)中較為常見的行為之一,端口掃描是指端口發(fā)送消息,一次只發(fā)送一個消息。接收到的回應(yīng)類型表示是否在使用該端口并且可由此探尋弱點。

        由此網(wǎng)絡(luò)管理員通過端口掃描,可以得到許多有用的信息,從而發(fā)現(xiàn)系統(tǒng)的安全漏洞,然后修補漏洞、制定完善的安全策略。當(dāng)然也不排除是黑客攻擊網(wǎng)絡(luò)設(shè)備邁出的第一步棋子。

        由于此次抓包時間較短,未能完全將黑客的行為及結(jié)果分析透徹,如果黑客繼續(xù)攻擊有可能成功破解數(shù)據(jù)庫密碼,給用戶帶來不可估量損失。

        因此建議網(wǎng)絡(luò)管理員在防火墻上做安全策略,拒絕外網(wǎng)用戶訪問MSSQL的1433端口,只對內(nèi)部網(wǎng)絡(luò)用戶開放。另外對FTP的21和遠程登陸為3389的端口拒絕外網(wǎng)訪問或者關(guān)掉。

        成都科來軟件有限公司

        電話:400-6869-069 010-82601814

        網(wǎng)址:www.colasoft.com.cn

        論壇:www.csna.cn

        猜你喜歡
        網(wǎng)絡(luò)管理員攻擊者數(shù)據(jù)包
        基于微分博弈的追逃問題最優(yōu)策略設(shè)計
        院校網(wǎng)絡(luò)管理員基本素質(zhì)與技能探討
        SmartSniff
        提高圖書館網(wǎng)絡(luò)管理員技術(shù)服務(wù)水平的途徑
        卷宗(2018年21期)2018-10-19 03:39:56
        正面迎接批判
        愛你(2018年16期)2018-06-21 03:28:44
        有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
        信息安全防范下高校網(wǎng)絡(luò)管理員隊伍建設(shè)研究
        基于Libpcap的網(wǎng)絡(luò)數(shù)據(jù)包捕獲器的設(shè)計與實現(xiàn)
        從傳統(tǒng)圖書管理員轉(zhuǎn)變?yōu)樾滦头?wù)人才
        視覺注意的數(shù)據(jù)包優(yōu)先級排序策略研究
        亚洲小说图区综合在线| 国产婷婷色一区二区三区| 久久久久亚洲av成人网人人网站| 两个人看的www高清视频中文| 国产一区二区三区韩国| 亚洲精品国产av成人网| 久久99精品久久久久麻豆| 天天燥日日燥| 国产99久久无码精品| 免费观看在线一区二区| 五月天中文字幕日韩在线| 国产边摸边吃奶叫床视频| 国产精品久久久久久久久KTV| 中文字幕亚洲精品人妻| 久久久精品国产免费看| 国产免费内射又粗又爽密桃视频| 男女男在线精品网站免费观看 | 国产精品无码久久久久成人影院| 亚洲va在线va天堂va手机| 亚洲综合免费在线视频| 日韩女优精品一区二区三区| 亚洲免费网站观看视频| 一本大道久久精品 东京热| 牛仔裤人妻痴汉电车中文字幕| 国产人妖乱国产精品人妖| 夜夜欢性恔免费视频| 日韩中文字幕精品免费一区| 日韩不卡一区二区三区色图| 人妻丰满熟妇岳av无码区hd| 欧美日韩亚洲精品瑜伽裤| 永久免费在线观看蜜桃视频 | 夜夜高潮夜夜爽夜夜爱爱| 久久露脸国产精品WWW| 亚洲第一页视频在线观看| 色哟哟精品视频在线观看| 国产成人久久精品二区三区牛| 在线免费午夜视频一区二区| 亚洲av不卡无码国产| 日产精品久久久久久久蜜臀| 国产不卡在线免费视频| 一本色道久久88加勒比一|