如何分析邮件系统遭受的攻击行为

邮件系统是信息化使用频率最高的业务系统之一,大量的信息是通过邮件进行沟通和共享的,由于这些信息都非常有价值,所以也成为被攻击的主要目标。

 

15.1 环境描述

 

客户为某大型保险公司,邮件系统是该单位使用最为频繁的系统之一。该单位邮件系统分为两种:Web登录方式和使用标准的SMTP、POP3协议收发方式。科来网络回溯分析系统部署在数据中心的核心交换机上,通过SPAN将DMZ区的所有服务器流量引入回溯系统进行采集和分析。

 

15.2 针对暴力破解邮件系统分析

 

在9月20日,针对该用户的流量数据进行网络分析时,发现其分公司的一些IP在针对邮件服务器进行暴力破解攻击。我们选择2天的时间窗口,然后选择其中9月19日上午的数据进行分析。点击“发tcp同步包”选项进行排名,我们发现IP X.X.200.66的流量只有9.35MB,但“tcp发送同步包”却排名第三位,达到了20592个。这种TCP会话很多,流量又特别小的IP比较异常。我们选择下载分析该IP数据包,进行深入分析。

下载该IP的通信数据后,我们发现该IP在9月19日上午对邮件服务器发起超过2万次TCP请求,而且密集时候每秒能发送100多个TCP同步包,如下图所示。

图 15-1

在下图中,我们可以看到IPX.X.200.66,在很短时间内向邮件服务器X.X.4.3做了多次重复的会话。从行为上来看,X.X.200.66在向邮件服务器进行请求,但又始终不发送三次握手中最后的ACK数据包。这样导致它与服务器的TCP会话始终无法建立,而且服务器为了等待X.X.200.66回送ACK,会消耗一定的系统资源。这样高频率、不正常的请求访问,就造成了对mail服务器的攻击。

图 15-2

而X.X.200.66在与服务器建立的成功的会话中,是有较大异常情况。通过“HTTP日志”分析我们可以看到以下不正常现象,如下图所示。

图 15-3

我们看到,X.X.200.66每次访问的URL是一模一样的,而且出现每秒钟多达10次以上的访问。从该频率看,不是人为访问,应该是病毒程序自动访问导致。分析这个URL发现,打开后是邮件服务器的Web登录界面。因此,我们可以判断这种行为应该是在进行密码尝试。

本次分析同时发现,服务器段的IP X.X.5.2也在向邮件服务器进行密码尝试行为,如下面两幅图所示。

图 15-4

图 15-5

通过以上针对邮件服务器数据的分析,我们发现网络中存在很多针对邮件服务器的不正常会话,这些会话对邮件服务器形成了攻击。攻击以和用户名密码的猜测较多,属于渗透攻击。

这些攻击猜测行为,一旦被取得真实的用户名和密码后,就能够对邮件服务器做数据偷窃,那么每封邮件的信息将会没有秘密可言。如果黑客通过攻击得到了邮件服务器的用户名和密码,就可以潜伏到网络中侦听他想要的信息,造成信息窃密事件的发生,对公司业务造成损失。

建议加强邮件服务器的防护,并对攻击者强制杀毒。同时,在防火墙上做一些TCP会话的强制会话时间限制。例如:在防火墙上做策略,使邮件每次TCP会话空闲时间不超过2秒,如果2秒得不到ACK回应则重置会话。

 

15.3 针对邮件蠕虫攻击分析

 

通过以上分析,我们发现网络中的邮件服务器的状况不太安全。那么,是否还存在其他问题呢?

由于邮件服务器的数据量很大,每天有超过10GB的流量,因此我们决定使用采样分析的方法,对邮件服务器进行数据采样分析。我们选择上午9-10点之间数据(该单位9点上班,邮件系统比较繁忙)。然后,选择网络应用中的SMTP进行挖掘分析。在查看会话时,我们发现IP10.82.184.35的会话数很多,在近1小时内该IP的SMTP会话到达几百个。明显的异常现象。于是,我们选择将该IP一上午的数据包,全部下载分析。

科来网络分析工程师打开“TCP会话”,看到最多的是X.X.184.35和邮件服务器X.X.4.3之间的13个数据包的会话。

图 15-6

该IP还向X.X.4.0发起请求,但接收方IP并不存在,所以只有三次SYN包,没有任何回应。X.X.184.35在1分钟内,就能发送近10封内容相似的邮件,而且这种邮件收信者多是比较大的门户网站,如下图所示。

图 15-7

统计发现,该主机在一上午时间内发送了超过2000封类似的邮件。而这么高频率的发送显然不是人工所为。产生这种现象的原因应该是该主机中了僵尸程序,然后僵尸程序自动向其他网站发送大量的垃圾邮件所致。建议对该主机进行杀毒后再接入网络。

 

15.4 价值

 

邮件系统,是企业单位经常遭受攻击的网络应用,如本文中针对邮件系统的攻击。面对此类攻击事件,科来网络回溯分析系统可对网络通讯流量进行实时记录及保存,通过网络流量分析技术实现对关键业务系统中行为异常的秒级发现,精准定位异常原因,提高邮件系统安全保障能力。

免费测试申请及购买咨询

您的名字 :

您的手机 :

您的邮箱 :

公司名称 :

您的职位 :

公司地址 :

网络规模 :

购买用途 :

补充留言:

陕西快乐十分