網(wǎng)絡(luò)分析技術(shù)通過對網(wǎng)絡(luò)原始數(shù)據(jù)的主動分析，能夠從大流量中快速發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，大大提升了用戶對網(wǎng)絡(luò)威脅的感知能力，同時能夠還原完整的攻擊行為，快速定位攻擊者，確定攻擊手段并評估影響。

環(huán)境描述

科來網(wǎng)絡(luò)分析專家在對某法院外網(wǎng)進行一次網(wǎng)絡(luò)健康檢查服務(wù)中，在其核心交換機上部署了科來網(wǎng)絡(luò)回溯分析系統(tǒng)，通過在總出口鏡像將網(wǎng)絡(luò)流量導(dǎo)入回溯分析設(shè)備。

分析過程

通過科來網(wǎng)絡(luò)回溯分析系統(tǒng)捕獲一段時間的數(shù)據(jù)，發(fā)現(xiàn)1個IP地址異常，可以看到XX.XXX.26.203地址共建立會話300多個，但是建立成功后會話報文都是小包，平均包長99B。

下載此數(shù)據(jù)包進行深入分析，第一步查看IP會話列表。如下圖：

通過上圖仔細查IP會話，發(fā)現(xiàn)XX.XXX.26.203在與XXX.XXX.35.53(數(shù)據(jù)庫服務(wù)器)通訊。數(shù)據(jù)包基本上是發(fā)送5個接收4個，數(shù)據(jù)包小，時間短暫、頻快。正常情況下同數(shù)據(jù)庫通訊時，當(dāng)會話成功建立后數(shù)據(jù)庫會發(fā)送數(shù)據(jù)，特點：數(shù)據(jù)包偏大、時間長、頻率稍微慢。通過以往的經(jīng)驗告訴我，可能是外網(wǎng)用戶在攻擊本網(wǎng)絡(luò)中的數(shù)據(jù)庫，攻擊者利用MSSQL的TCP 1433號端口，不斷嘗試利用弱口令嘗試，如果成功的話就能獲得目標(biāo)主機的權(quán)限。為了進一步驗證判斷，接下第二步來查看TCP會話的數(shù)據(jù)流。如下圖：

針對上圖眾多的會話可以看到，該地址對SQL SERVER每次會話掃描8到10報文不等，選擇其中一個會話，查看數(shù)據(jù)流，發(fā)現(xiàn)攻擊者果真正在嘗試sa口令。

進行第三步分析，查看TCP會話時序圖。雙方會話建立成功后通訊數(shù)據(jù)很少，服務(wù)器在回應(yīng)對方的嘗試后，立刻終止了此會話，通過仔細查看300多個會話推測這些嘗試并沒有成功。由此斷定數(shù)據(jù)庫服務(wù)器(XXX.XXX.35.53)遭到外網(wǎng)地址攻擊。后和網(wǎng)絡(luò)管理員溝通，得知此地址確實是外網(wǎng)網(wǎng)站地址的數(shù)據(jù)庫地址。為了進一步的安全考慮，嘗試用站長工具進行一此端口掃描，查看網(wǎng)絡(luò)中還有那些端口是打開著的。發(fā)現(xiàn)有3個端口是開放的，而且是黑客常攻擊的端口，居然赤裸裸的出現(xiàn)在公網(wǎng)上！為了進一步弄清XX.XXX.26.203這個地址，登陸到站長工具查看居然是韓國的地址。然后進行對其一次端口掃描如圖：其3389端口也打開了，遠程登陸試試！對話框中顯示“輸入的用戶名或密碼不正確，請重新輸入”。

分析結(jié)論

端口掃描是網(wǎng)絡(luò)中較為常見的行為之一，端口掃描是指端口發(fā)送消息，一次只發(fā)送一個消息。接收到的回應(yīng)類型表示是否在使用該端口并且可由此探尋弱點。

由此網(wǎng)絡(luò)管理員通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞，然后修補漏洞、制定完善的安全策略。當(dāng)然也不排除是黑客攻擊網(wǎng)絡(luò)設(shè)備邁出的第一步棋子。

由于此次抓包時間較短，未能完全將黑客的行為及結(jié)果分析透徹，如果黑客繼續(xù)攻擊有可能成功破解數(shù)據(jù)庫密碼，給用戶帶來不可估量損失。

因此建議網(wǎng)絡(luò)管理員在防火墻上做安全策略，拒絕外網(wǎng)用戶訪問MSSQL的1433端口，只對內(nèi)部網(wǎng)絡(luò)用戶開放。另外對FTP的21和遠程登陸為3389的端口拒絕外網(wǎng)訪問或者關(guān)掉。

成都科來軟件有限公司

電話：400-6869-069 010-82601814

網(wǎng)址：www.colasoft.com.cn

論壇：www.csna.cn