邮件系统是企业单位最经常使用的网络应用之一。邮件系统中一般有客户的关键信息,一旦邮件系统瘫痪或被黑客掌控,那么就会给企业带来重大损失。本文两个案例都是针对邮件服务器的攻击案例,希望通过这些实际网络案例给大家有所帮助。
案例环境
某大型保险公司,邮件系统是该单位使用最为频繁的系统之一。该单位邮件系统分为两种:WEB登录和标准的SMTP POP3协议收发方式。科来回溯式分析服务器部署在数据中心的核心交换机上,通过span将DMZ区的所有服务器流量引入回溯服务器进行分析。
案例分析
一、针对邮件系统的暴力破解
某日上午,在进行分析时发现分公司的一些IP在进行针对邮件服务器的暴力破解攻击,发现后我们立即选择某一时段数据进行分析。首先,对“发tcp同步包”选项进行排名,发现IP 10.94.200.66的流量只有9.35MB但“tcp发送同步包”却排名第三位,达到了20592个。这种TCP会话很多,流量又特别小的IP通常比较异常。随后,我们选择下载分析该IP数据包,进行深入分析。下载该IP的通信数据后发现,该IP在某日上午对邮件服务器发起超过2万次TCP请求,而且密集时每秒能发送100多个TCP同步包。
如下图,可看到IP10.94.200.66在很短时间内向mail服务器10.64.4.3做了多次重复的会话。从行为上来看,10.94.200.66在向mail服务器进行请求,但又始终不发送三次握手中最后的ACK数据包,这样导致它与服务器的TCP会话始终无法建立,而服务器为了等待200.66回送ACK会消耗一定的系统资源,这样高频率的不正常请求访问,就构成对mail服务器的DOS攻击。
DOS攻击行为的TCP会话
与此同时,200.66在与服务器建立的成功会话中也是较大异常的,通过“HTTP日志”分析我们可以发现以下不正常现象--- 200.66每次访问的URL是相同的,且每秒多达10次以上访问,从该频率来看不是人为访问,而是病毒程序自动访问导致。分析这个URL,发现打开后是mail服务器的WEB登录界面,因此我们可以认为这种行为应该是在进行密码尝试。
通过以上针对mail服务器的分析我们发现,网络中存在很多针对mail服务器的不正常会话,这些会话对mail服务器形成攻击,以DOS和用户名密码的猜测居多,属于渗透攻击。这些攻击猜测行为一旦取得真实的用户名和密码,危害极大。
建议加强mail服务器的防护,并对攻击者强制杀毒,在防火墙上做一些TCP会话的强制会话时间限制。(例如:在防火墙上做策略,使mail每次TCP会话空闲时间不超过2秒,如果2秒得不到ACK回应则重置会话)
二、邮件蠕虫攻击
通过以上分析我们发现网络中的邮件服务器状况不安全。那么还有没有其他问题呢?
我们在某单位选择上午9-10点之间的数据(该单位9点上班,邮件系统比较繁忙)进行采样分析。然后选择网络应用中的SMTP进行挖掘分析,在查看会话时我们发现IP10.82.184.35的会话数很多,近1小时内该IP的SMTP会话到达数百个,属于明显的异常现象。于是我们选择将该IP上午9-12点的数据包全部下载进行分析。
首先我们打开“tcp会话”发现最多的是10.82.184.35和mail服务器10.64.4.3之间的13个数据包的会话,如下图。
邮件蠕虫的TCP会话
且该IP还向10.64.4.0发起请求,但显然这种IP是不会存在的,所以只有三次SYN包,但没有任何回应。该IP在1分钟内就能发送近10封内容相差不多的邮件,而且这种邮件收信者多是比较大的门户网站。
该主机在一上午时间内发送了超过2000封类似的邮件,而这么高频率的发送显然不是人工所为。这种情况应是该主机中了僵尸程序,然后僵尸程序自动向其他网站发送大量的垃圾邮件所致。建议对该主机进行杀毒后再接入网络。
