科來助你快速定位攻擊者

網絡分析技術通過對網絡原始數據的主動分析，能夠從大流量中快速發現網絡異常行為，大大提升了用戶對網絡威脅的感知能力，同時能夠還原完整的攻擊行為，快速定位攻擊者，確定攻擊手段并評估影響。

環境描述

科來網絡分析專家在對某法院外網進行一次網絡健康檢查服務中，在其核心交換機上部署了科來網絡回溯分析系統，通過在總出口鏡像將網絡流量導入回溯分析設備。

分析過程

通過科來網絡回溯分析系統捕獲一段時間的數據，發現1個IP地址異常，可以看到XX.XXX.26.203地址共建立會話300多個，但是建立成功后會話報文都是小包，平均包長99B。

下載此數據包進行深入分析，第一步查看IP會話列表。如下圖：

通過上圖仔細查IP會話，發現XX.XXX.26.203在與XXX.XXX.35.53(數據庫服務器)通訊。數據包基本上是發送5個接收4個，數據包小，時間短暫、頻快。正常情況下同數據庫通訊時，當會話成功建立后數據庫會發送數據，特點：數據包偏大、時間長、頻率稍微慢。通過以往的經驗告訴我，可能是外網用戶在攻擊本網絡中的數據庫，攻擊者利用MSSQL的TCP 1433號端口，不斷嘗試利用弱口令嘗試，如果成功的話就能獲得目標主機的權限。為了進一步驗證判斷，接下第二步來查看TCP會話的數據流。如下圖：

針對上圖眾多的會話可以看到，該地址對SQL SERVER每次會話掃描8到10報文不等，選擇其中一個會話，查看數據流，發現攻擊者果真正在嘗試sa口令。

進行第三步分析，查看TCP會話時序圖。雙方會話建立成功后通訊數據很少，服務器在回應對方的嘗試后，立刻終止了此會話，通過仔細查看300多個會話推測這些嘗試并沒有成功。由此斷定數據庫服務器(XXX.XXX.35.53)遭到外網地址攻擊。后和網絡管理員溝通，得知此地址確實是外網網站地址的數據庫地址。為了進一步的安全考慮，嘗試用站長工具進行一此端口掃描，查看網絡中還有那些端口是打開著的。發現有3個端口是開放的，而且是黑客常攻擊的端口，居然赤裸裸的出現在公網上！為了進一步弄清XX.XXX.26.203這個地址，登陸到站長工具查看居然是韓國的地址。然后進行對其一次端口掃描如圖：其3389端口也打開了，遠程登陸試試！對話框中顯示“輸入的用戶名或密碼不正確，請重新輸入”。

分析結論

端口掃描是網絡中較為常見的行為之一，端口掃描是指端口發送消息，一次只發送一個消息。接收到的回應類型表示是否在使用該端口并且可由此探尋弱點。

由此網絡管理員通過端口掃描，可以得到許多有用的信息，從而發現系統的安全漏洞，然后修補漏洞、制定完善的安全策略。當然也不排除是黑客攻擊網絡設備邁出的第一步棋子。

由于此次抓包時間較短，未能完全將黑客的行為及結果分析透徹，如果黑客繼續攻擊有可能成功破解數據庫密碼，給用戶帶來不可估量損失。

因此建議網絡管理員在防火墻上做安全策略，拒絕外網用戶訪問MSSQL的1433端口，只對內部網絡用戶開放。另外對FTP的21和遠程登陸為3389的端口拒絕外網訪問或者關掉。

成都科來軟件有限公司

電話：400-6869-069 010-82601814

網址：www.colasoft.com.cn

論壇：www.csna.cn