第20章郵件系統攻擊分析20.1案例背景 20.2針對郵件系統的暴力破解 20.3郵件蠕蟲攻擊

郵件系統是企業單位最經常使用的網絡應用之一。郵件系統中一般有客戶的關鍵信息，一旦郵件系統癱瘓或被黑客掌控，那么就會給企業帶來重大損失。本章兩個案例都是針對郵件服務器的攻擊。20.1案例背景客戶為某大型保險公司，郵件系統是該單位使用最為頻繁的系統之一。該單位郵件系統分為兩種：Web登錄方式和使用標準的SMTPPOP3協議收發方式。科來回溯式分析服務器部署在數據中心的核心交換機上，通過SPAN將DMZ區的所有服務器流量引入回溯服務器進行分析。

2011年9月20日，我們在進行分析時發現，分公司的一些IP在發起針對郵件服務器的暴力破解攻擊。我們選擇2天時間窗口，然后選擇9月19日上午的數據進行分析。點擊“發TCP同步包”選項進行排名，我們發現IP地址為6的流量只有9.35MB但“發TCP同步包”選項卻排名第三位，達到了20

592個。這種TCP會話很多，流量又特別小的IP通常是比較異常的。我們選擇下載分析該IP數據包，進行深入分析。20.2針對郵件系統的暴力破解下載該IP的通信數據后我們發現，該IP在9月19日上午對郵件服務器發起超過2萬次的TCP請求，而且密集時候每秒能發送100多個TCP同步包，如圖20-1所示。

圖20-1如下圖20-2所示，該IP地址在很短時間內與Mail服務器進行了多次重復的會話。從行為上來看，6在向Mail服務器進行請求，但又始終不發送三次握手中最后的ACK數據包，這樣導致它與服務器的TCP會話始終無法建立，而且服務器為了等待200.66回送ACK會消耗一定的系統資源，這樣高頻率的不正常的請求訪問，就造成了對Mail服務器的DoS(DenialofService，拒絕服務)攻擊。

圖20-2而200.66在與服務器建立的成功的會話也是較為異常的，通過“HTTP日志”分析，我們可以看到如圖20-3所示的不正常現象。

圖20-3我們看到200.66每次訪問的URL是一模一樣的，而且出現每秒鐘多達10次以上的訪問。從該頻率看不是人為訪問，應該是病毒程序自動訪問導致的。分析這個URL，打開后發現是Mail服務器的Web登錄界面。因此我們可以認為，這種行為應該是在進行密碼嘗試。

同樣的，本次分析還發現服務器段的IP地址為主機也在向Mail服務器進行密碼嘗試行為，如圖20-4和圖20-5所示。

圖20-4

圖20-5通過以上針對Mail服務器的分析我們發現，網絡中存在很多針對Mail服務器的不正常會話，這些會話對Mail服務器形成了攻擊。攻擊以DoS和用戶名密碼的猜測較多，屬于滲透攻擊。這些攻擊猜測行為一旦取得真實的用戶名和密碼后，就能夠偷竊Mail服務器的數據，那么每封Mail的信息將沒有秘密可言。例如，黑客攻擊得到了Mail服務器的用戶名和密碼，可以潛伏到網絡中偵聽他想要的信息，造成信息竊密的發生，對公司業務造成損失。建議加強Mail服務器的防護，并對攻擊者強制殺毒，并在防火墻上做一些TCP會話的強制會話時間限制。例如，在防火墻上采取一些策略，使Mail服務器每次TCP會話空閑時間不超過2秒，如果2秒得不到ACK回應則重置會話。

通過以上分析我們發現，網絡中郵件服務器的狀況不太安全，那么還有沒有其他問題呢？由于郵件服務器的數據量很大，每天有超過10GB的流量，因此我們決定使用采樣分析的方法對郵件服務器進行數據采樣分析。選擇上午9時至10時之間數據(該單位9點上班，郵件系統比較繁忙)，然后選擇網絡應用中的SMTP進行挖掘分析，在查看會話時我們發現，IP為5的會話數很多，在近1小時內該IP的SMTP會話達到幾百個，明顯的異常現象。因此，我們選擇將該IP一上午時間的數據包全部下載分析。20.3郵件蠕蟲攻擊首先我們打開“TCP會話”，看到最多的是5和Mail服務器之間的13個數據包的會話，如圖20-6所示。

圖20-6而且該IP還向發起請求，但顯然這種IP是不會存在的，所以只有三次SYN包，但沒有任何回應。該IP在1分鐘內就能發送近10封內容相差不多的郵件，而且這種郵件收信者多是比較大的門戶網站，如圖20-7所示。

圖20-7統