網(wǎng)絡(luò)分析技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)原始數(shù)據(jù)的主動(dòng)分析，能夠從大流量中快速發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，大大提升了用戶對(duì)網(wǎng)絡(luò)威脅的感知能力，同時(shí)能夠還原完整的攻擊行為，快速定位攻擊者，確定攻擊手段并評(píng)估影響。

環(huán)境描述

科來(lái)網(wǎng)絡(luò)分析專家在對(duì)某法院外網(wǎng)進(jìn)行一次網(wǎng)絡(luò)健康檢查服務(wù)中，在其核心交換機(jī)上部署了科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)，通過(guò)在總出口鏡像將網(wǎng)絡(luò)流量導(dǎo)入回溯分析設(shè)備。

分析過(guò)程

通過(guò)科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)捕獲一段時(shí)間的數(shù)據(jù)，發(fā)現(xiàn)1個(gè)IP地址異常，可以看到XX.XXX.26.203地址共建立會(huì)話300多個(gè)，但是建立成功后會(huì)話報(bào)文都是小包，平均包長(zhǎng)99B。

下載此數(shù)據(jù)包進(jìn)行深入分析，第一步查看IP會(huì)話列表。如下圖：

通過(guò)上圖仔細(xì)查IP會(huì)話，發(fā)現(xiàn)XX.XXX.26.203在與XXX.XXX.35.53(數(shù)據(jù)庫(kù)服務(wù)器)通訊。數(shù)據(jù)包基本上是發(fā)送5個(gè)接收4個(gè)，數(shù)據(jù)包小，時(shí)間短暫、頻快。正常情況下同數(shù)據(jù)庫(kù)通訊時(shí)，當(dāng)會(huì)話成功建立后數(shù)據(jù)庫(kù)會(huì)發(fā)送數(shù)據(jù)，特點(diǎn)：數(shù)據(jù)包偏大、時(shí)間長(zhǎng)、頻率稍微慢。通過(guò)以往的經(jīng)驗(yàn)告訴我，可能是外網(wǎng)用戶在攻擊本網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)，攻擊者利用MSSQL的TCP 1433號(hào)端口，不斷嘗試?yán)萌蹩诹顕L試，如果成功的話就能獲得目標(biāo)主機(jī)的權(quán)限。為了進(jìn)一步驗(yàn)證判斷，接下第二步來(lái)查看TCP會(huì)話的數(shù)據(jù)流。如下圖：

針對(duì)上圖眾多的會(huì)話可以看到，該地址對(duì)SQL SERVER每次會(huì)話掃描8到10報(bào)文不等，選擇其中一個(gè)會(huì)話，查看數(shù)據(jù)流，發(fā)現(xiàn)攻擊者果真正在嘗試sa口令。

進(jìn)行第三步分析，查看TCP會(huì)話時(shí)序圖。雙方會(huì)話建立成功后通訊數(shù)據(jù)很少，服務(wù)器在回應(yīng)對(duì)方的嘗試后，立刻終止了此會(huì)話，通過(guò)仔細(xì)查看300多個(gè)會(huì)話推測(cè)這些嘗試并沒(méi)有成功。由此斷定數(shù)據(jù)庫(kù)服務(wù)器(XXX.XXX.35.53)遭到外網(wǎng)地址攻擊。后和網(wǎng)絡(luò)管理員溝通，得知此地址確實(shí)是外網(wǎng)網(wǎng)站地址的數(shù)據(jù)庫(kù)地址。為了進(jìn)一步的安全考慮，嘗試用站長(zhǎng)工具進(jìn)行一此端口掃描，查看網(wǎng)絡(luò)中還有那些端口是打開(kāi)著的。發(fā)現(xiàn)有3個(gè)端口是開(kāi)放的，而且是黑客常攻擊的端口，居然赤裸裸的出現(xiàn)在公網(wǎng)上！為了進(jìn)一步弄清X(qián)X.XXX.26.203這個(gè)地址，登陸到站長(zhǎng)工具查看居然是韓國(guó)的地址。然后進(jìn)行對(duì)其一次端口掃描如圖：其3389端口也打開(kāi)了，遠(yuǎn)程登陸試試！對(duì)話框中顯示“輸入的用戶名或密碼不正確，請(qǐng)重新輸入”。

分析結(jié)論

端口掃描是網(wǎng)絡(luò)中較為常見(jiàn)的行為之一，端口掃描是指端口發(fā)送消息，一次只發(fā)送一個(gè)消息。接收到的回應(yīng)類型表示是否在使用該端口并且可由此探尋弱點(diǎn)。

由此網(wǎng)絡(luò)管理員通過(guò)端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞，然后修補(bǔ)漏洞、制定完善的安全策略。當(dāng)然也不排除是黑客攻擊網(wǎng)絡(luò)設(shè)備邁出的第一步棋子。

由于此次抓包時(shí)間較短，未能完全將黑客的行為及結(jié)果分析透徹，如果黑客繼續(xù)攻擊有可能成功破解數(shù)據(jù)庫(kù)密碼，給用戶帶來(lái)不可估量損失。

因此建議網(wǎng)絡(luò)管理員在防火墻上做安全策略，拒絕外網(wǎng)用戶訪問(wèn)MSSQL的1433端口，只對(duì)內(nèi)部網(wǎng)絡(luò)用戶開(kāi)放。另外對(duì)FTP的21和遠(yuǎn)程登陸為3389的端口拒絕外網(wǎng)訪問(wèn)或者關(guān)掉。

成都科來(lái)軟件有限公司

電話：400-6869-069 010-82601814

網(wǎng)址：www.colasoft.com.cn

論壇：www.csna.cn