网易邮箱在年10月14日被全面暴力破解，以网易邮箱注册或者与其关联的任何账号都受到安全威胁，包括苹果AppleID、微博、支付宝、百度云盘、游戏等等。邮件系统是企业单位最经常使用的网络应用之一。邮件系统中一般有客户的关键信息，一旦邮件系统瘫痪或被黑客掌控，那么就会给企业带来重大损失。客户为某大型保险公司，邮件系统是该单位使用最为频繁的系统之一。该单位邮件系统分为两种：WEB登录方式和使用标准的SMTPPOP3协议收发方式。科来网络回溯分析系统部署在数据中心的核心交换机上，通过span将DMZ区的所有服务器流量引入回溯系统进行分析。1过程分析

在9月20日针对该用户进行网络分析时发现其分公司的一些IP在进行针对邮件服务器的暴力破解攻击。我们选择2天时间窗口，然后选择9月19日上午的数据进行分析。点击“发tcp同步包”选项进行排名，我们发现IP10.XX..66的流量只有9.35MB，但“tcp发送同步包”却排名第三位，达到了个。这种TCP会话很多，流量又特别小的IP比较异常。我们选择下载分析该IP数据包，进行深入分析。

下载该IP的通信数据后我们发现，该IP在9月19日上午对邮件服务器发起近超过2万次TCP请求，而且密集时候每秒能发送多个TCP同步包。如下图：

图1

如下图，我们看到IP10.XX..66在很短时间内向mail服务器10.64.4.3做了多次重复的会话，从行为上来看，10.XX..66在向mail服务器进行请求，但又始终不发送三次握手中最后的ACK数据包，这样导致它与服务器的TCP会话始终无法建立，而且服务器为了等待.66回送ACK会消耗一定的系统资源，这样高的频率的不正常的请求访问，就造成了对mail服务器的DOS攻击。

图2

而.66在与服务器建立的成功的会话中也是较大异常的，通过“HTTP日志”分析我们可以看到以下不正常现象，如下图：

图3

我们看到.66的每次访问的URL是一模一样的，而且出现每秒钟多达10次以上的访问，从该频率看不是人为访问，应该是病毒程序自动访问导致。分析这个URL发现打开后是mail服务器的WEB登录界面。因此我们可以认为这种行为应该是在进行密码尝试。

同样的本次分析发现服务器段的IP10.XX.5.2也在想mail服务器进行密码尝试行为，如下面两幅图。

图4

图5

2分析建议

通过以上针对mail服务器的分析我们发现，网络中存在很多针对mail服务器的不正常会话，这些会话对mail服务器形成了攻击。攻击以DOS和用户名密码的猜测较多，属于渗透攻击。

这些攻击猜测行为一旦被取得真实的用户名和密码后，就能够对mail服务器做数据偷窃，那么每封mail的信息将会没有秘密可言。(例如，黑客攻击得到了mail服务器的用户名和密码后可以潜伏到网络中侦听他想要的信息，造成信息窃密的发生，对公司业务造成损失)

建议加强mail服务器的防护，并对攻击者强制杀毒，并在防火墙上做一些TCP会话的强制会话时间限制。(例如：在防火墙上做策略，使mail每次TCP会话空闲时间不超过2秒，如果2秒得不到ACK回应则重置会话)下期案例预告我们将近一步针对邮件系统攻击中的蠕虫病毒进行实战案例解析，敬请期待！

—END—

关于科来科来公司成立于3年，是专注于网络分析技术研究与产品开发的高新技术企业，在网络分析领域有着几十项专利技术和独立的完全知识产权。科来自主研发的网络分析产品广泛应用于海内外用户的网络安全分析、故障诊断及性能优化等关键领域。同时，科来专业的技术服务与认证培训也得到了社会各界的广泛认可。科来是最早研究木马数据流行为特征的厂家之一，在木马研究领域取得了丰硕的成果，并承接了僵尸网络、云木马、移动终端、无线检测、私有协议等前瞻性科研项目。科来是中国网络分析领域的第一品牌，荣获中国软件协会、中国电子信息产业发展研究院联合颁发的《辉煌十年网络分析领军企业奖》，科来网络分析系统被美国PCMagazine评选为《年度全球最佳科技产品》。

赞赏

北京治疗白癜风的最佳医院
北京哪家医院治疗白癜风最权威


转载请注明:http://www.vogkx.com//mjccyy/1076872.html