邮件系统攻击分析案例.pdf

邮件系统攻击分析案例 CSNA 网络分析认证培训 2001-2015 科来版权所有 科来官网 1/5 邮件系统是企业单位最经常使用的网络应用之一。邮件系统中一般有客户的关键信息，一旦邮件系统瘫痪或被黑客掌控，那么就会给企业带来重大损失。本文两个案例都是针对邮件服务器的攻击案例，希望通过这些实际网络案例给大家有所帮助。客户环境说明：客户环境说明：客户为某大型保险公司，邮件系统是该单位使用最为频繁的系统之一。该单位邮件系统分为两种：WEB 登录方式，和使用标准的 SMTP POP3 协议收发方式。科来回溯式分析服务器部署在数据中心的核心交换机上，通过 span 将 DMZ 区的所有服务器流量引入回溯服务器进行分析。1.针对邮件系统的暴力破解针对邮件系统的暴力破解 9-20 日在进行分析时发现分公司的一些 IP 在进行针对邮件服务器的暴力破解攻击。我们选择 2 天时间窗口，然后选择 9/19 的上午的数据进行分析。点击“发 tcp 同步包”选项进行排名，我们发现 IP 10.94.200.66 的流量只有 9.35MB 但“tcp 发送同步包”却排名第三位，达到了 20592 个。这种 TCP 会话很多，流量又特别小的 IP 通常的比较异常的。我们选择下载分析该 IP 数据包，进行深入分析。下载该 IP 的通信数据后我们发现，该 IP 在 9/19 日上午对邮件服务器发起近超过 2万次 TCP 请求，而且密集时候每秒能发送 100 多个 TCP 同步包。科来官网 2/5 如上图，我们看到 IP10.94.200.66 在很短时间内向 mail 服务器 10.64.4.3 做了多次重复的会话，从行为上来看，10.94.200.66 在向 mail 服务器进行请求，但又始终不发送三次握手中最后的 ACK 数据包，这样导致它与服务器的 TCP 会话始终无法建立，而且服务器为了等待 200.66 回送 ACK 会消耗一定的系统资源，这样高的频率的不正常的请求访问，就造成了对 mail 服务器的 DOS 攻击。而 200.66 在与服务器建立的成功的会话中也是较大异常的，通过“HTTP 日志”分析我们可以看到以下不正常现象，如图：科来官网 3/5 我们看到 200.66 的每次访问的 URL 是一模一样的，而且出现每秒钟多达 10 次以上的访问，从该频率看不是人为访问，应该是病毒程序自动访问导致。分析这个 URL 发现打开后是 mail 服务器的 WEB 登录界面。因此我们可以认为这种行为应该是在进行密码尝试。同样的本次分析发现服务器段的 IP 10.64.5.2 也在想 mail 服务器进行密码尝试行为，如图：科来官网 4/5 通过以上针对 mail 服务器的分析我们发现，网络中存在很多针对 mail 服务器的不正常会话，这些会话对 mail 服务器形成了攻击。攻击以 DOS 和用户名密码的猜测较多，属于渗透攻击。这些攻击猜测行为一旦被取得真实的用户名和密码后，就能够对 mail 服务器做数据偷窃，那么每封 mail 的信息将会没有秘密可言。（例如，黑客攻击得到了 mail 服务器的用户名和密码后可以潜伏到网络中侦听他想要的信息，造成信息窃密的发生，对公司业务造成损失）建议：建议：加强 mail 服务器的防护，并对攻击者强制杀毒，并在防火墙上做一些 TCP 会话的强制会话时间限制（例如：在防火墙上做策略，使 mail 每次 TCP 会话空闲时间不超过 2秒，如果 2 秒得不到 ACK 回应则重置会话）2.邮件蠕虫攻击邮件蠕虫攻击 通过以上分析我们发现网络中的邮件服务器的状况不太安全。那么还有没有其他问题呢？由于邮件服务器的数据量很大，每天有超过 10GB 的流量，因此我们决定使用采样分析的方法对邮件服务器进行数据采样分析。我们选择上午 9-10 点之间数据（该单位 9 点上班，邮件系统比较繁忙）。然后选择网络应用中的 SMTP 进行挖掘分析，在查看会话时我们发现 IP10.82.184.35 的会话数很多，在近 1 小时内该 IP 的 SMTP 会话到达几百个。明显的异常现象。由于我们选择将该 IP 的一上午时间的数据包全部下载分析。首先我们打开“tcp 会话”看到最多的是 10.82.184.35 和 mail 服务器 10.64.4.3 之间的 科来官网 5/5 13 个数据包的会话。而且该 IP 还向 10.64.4.0 发起请求，但显然这种 IP 是不会存在的，所以只有三次 SYN包，但没有任何回应。该 IP 在 1 分钟内就能发送近 10 封内容相差不多的邮件，而且这种邮件收信者多是比较大的门户网站。如图：统计发现，该主机在一上午时间内发送了超过 2000 封类似的邮件。而这么高频率的发送显然不是人工所为。这种现象应该是该主机中了僵尸程序，然后僵尸程序自动向其他网站发送大量的垃圾邮件所致。建议：建议：对该主机进行杀毒后再接入网络。