国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 系統(tǒng)安全 >

操縱回溯闡發(fā)系統(tǒng)應(yīng)對(duì)郵件系統(tǒng)報(bào)復(fù)打擊

時(shí)間:2013-12-19 12:04來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
郵件系統(tǒng)是企業(yè)單位最常常利用的收集利用之一。郵件系統(tǒng)中一般有客戶的關(guān)頭信息,一旦郵件系統(tǒng)癱瘓或被黑客掌控,那么就會(huì)給企業(yè)帶來重大年夜損掉。本文兩個(gè)案例都是針對(duì)郵件辦事器
Tags系統(tǒng)安全(735)服務(wù)器(140)蠕蟲(6)郵件系統(tǒng)(1)  

  郵件系統(tǒng)是企業(yè)單位最常常利用的收集利用之一。郵件系統(tǒng)中一般有客戶的關(guān)頭信息,一旦郵件系統(tǒng)癱瘓或被黑客掌控,那么就會(huì)給企業(yè)帶來重大年夜損掉。本文兩個(gè)案例都是針對(duì)郵件辦事器的報(bào)復(fù)打擊案例,??唇?jīng)由過程這些實(shí)際收集案例給大年夜家有所幫忙。

  案例環(huán)境

  某大年夜型保險(xiǎn)公司,郵件系統(tǒng)是該單位利用最為頻繁的系統(tǒng)之一。該單位郵件系統(tǒng)分為兩種:WEB登錄和尺度的SMTP POP3和談收發(fā)編制??苼砘厮菔疥U發(fā)辦事器擺設(shè)在數(shù)據(jù)中間的核心互換機(jī)上,經(jīng)由過程span將DMZ區(qū)的所有辦事器流量引進(jìn)回溯辦事器進(jìn)行闡發(fā)。

  案例闡發(fā)

  1、針對(duì)郵件系統(tǒng)的暴力破解

  某日上午,在進(jìn)行闡發(fā)時(shí)發(fā)現(xiàn)分公司的一些IP在進(jìn)行針對(duì)郵件辦事器的暴力破解報(bào)復(fù)打擊,發(fā)現(xiàn)后我們當(dāng)即選擇某一時(shí)段數(shù)據(jù)進(jìn)行闡發(fā)。起首,對(duì)“發(fā)tcp同步包”選項(xiàng)進(jìn)行排名,發(fā)現(xiàn)IP 10.94.200.66的流量只有9.35MB但“tcp發(fā)送同步包”卻排名第三位,達(dá)到了20592個(gè)。這類TCP會(huì)話良多,流量又出格小的IP凡是比較異常。隨后,我們選擇下載闡發(fā)該IP數(shù)據(jù)包,進(jìn)行深進(jìn)闡發(fā)。下載該IP的通信數(shù)據(jù)后發(fā)現(xiàn),該IP在某日上午對(duì)郵件辦事器倡議超越2萬次TCP要求,并且密集時(shí)每秒能發(fā)送100多個(gè)TCP同步包。

  如圖1所示,可看到IP10.94.200.66在很短時(shí)候內(nèi)向mail辦事器10.64.4.3做了多次反復(fù)的會(huì)話。從行動(dòng)上來看,10.94.200.66在向mail辦事器進(jìn)行要求,但又始終不發(fā)送三次握手中最后的ACK數(shù)據(jù)包,如許導(dǎo)致它與辦事器的TCP會(huì)話始終沒法成立,而辦事器為了等候200.66回送ACK會(huì)耗損必然的系統(tǒng)資本,如許高頻率的不正常要求拜候,就構(gòu)成對(duì)mail辦事器的DOS報(bào)復(fù)打擊。

  圖 1 DOS報(bào)復(fù)打擊行動(dòng)的TCP會(huì)話

  與此同時(shí),200.66在與辦事器成立的成功會(huì)話中也是較大年夜異常的,經(jīng)由過程“HTTP日記”闡發(fā)我們可以發(fā)現(xiàn)以下不正?,F(xiàn)象--- 200.66每次拜候的URL是不異的,且每秒多達(dá)10次以上拜候,從該頻率來看不是報(bào)酬拜候,而是病毒法度主動(dòng)拜候?qū)е?。闡發(fā)這個(gè)URL,發(fā)現(xiàn)打開后是mail辦事器的WEB登錄界面,是以我們可以覺得這類行動(dòng)應(yīng)當(dāng)是在進(jìn)行暗碼測(cè)驗(yàn)測(cè)驗(yàn)。

  經(jīng)由過程以上針對(duì)mail辦事器的闡發(fā)我們發(fā)現(xiàn),收集中存在良多針對(duì)mail辦事器的不正常會(huì)話,這些會(huì)話對(duì)mail辦事器構(gòu)成報(bào)復(fù)打擊,以DOS和用戶名暗碼的猜想占多數(shù),屬于滲入報(bào)復(fù)打擊。這些報(bào)復(fù)打擊猜想行動(dòng)一旦獲得真實(shí)的用戶名和暗碼,風(fēng)險(xiǎn)極大年夜。

  建議加強(qiáng)mail辦事器的防護(hù),并對(duì)報(bào)復(fù)打擊者強(qiáng)迫殺毒,在防火墻上做一些TCP會(huì)話的強(qiáng)迫會(huì)話時(shí)候限制。(例如:在防火墻上做策略,使mail每次TCP會(huì)話余暇時(shí)候不超越2秒,假定2秒得不到ACK回應(yīng)則重置會(huì)話)

  2、郵件蠕蟲報(bào)復(fù)打擊

  經(jīng)由過程以上闡發(fā)我們發(fā)現(xiàn)收集中的郵件辦事器狀況不服安。那么還有沒有其他標(biāo)題問題呢?

  我們?cè)谀硢挝贿x擇上午9-10點(diǎn)之間的數(shù)據(jù)(該單位9點(diǎn)上班,郵件系統(tǒng)比較繁忙)進(jìn)行采樣闡發(fā)。然后選擇收集利用中的SMTP進(jìn)行發(fā)掘闡發(fā),在查看會(huì)話時(shí)我們發(fā)現(xiàn)IP10.82.184.35的會(huì)話數(shù)良多,近1小時(shí)內(nèi)該IP的SMTP會(huì)話達(dá)到數(shù)百個(gè),屬于較著的異?,F(xiàn)象。因而我們選擇將該IP上午9-12點(diǎn)的數(shù)據(jù)包全手下載進(jìn)行闡發(fā)。

  起首我們打開“tcp會(huì)話”發(fā)現(xiàn)最多的是10.82.184.35和mail辦事器10.64.4.3之間的13個(gè)數(shù)據(jù)包的會(huì)話。以下圖所示:

  圖 2 郵件蠕蟲的TCP會(huì)話

  且該IP還向10.64.4.0倡議要求,但明顯這類IP是不會(huì)存在的,所以只有三次SYN包,但沒有任何回應(yīng)。該IP在1分鐘內(nèi)就可以發(fā)送近10封內(nèi)容相差不多的郵件,并且這類郵件收信者多是比較大年夜的門戶網(wǎng)站。

  該主機(jī)在一上午時(shí)候內(nèi)發(fā)送了超越2000封近似的郵件,而這么高頻率的發(fā)送明顯不是人工所為。這類環(huán)境應(yīng)是該主機(jī)中了僵尸法度,然后僵尸法度主動(dòng)向其他網(wǎng)站發(fā)送大年夜量的垃圾郵件而至。建議對(duì)該主機(jī)進(jìn)行殺毒后再接進(jìn)收集。

------分隔線----------------------------

推薦內(nèi)容