(案例垃圾邮件行为分析.docxVIP

目录科来回溯分析系统发现垃圾邮件发送行为11.背景介绍12.主机扫描警报的基本效果23.意外的SMTP主机扫描警报44.SMTP会话统计分析55.SMTP数据流解码分析66.案例总结8发现垃圾邮件发送行为科来回溯分析系统最新的3.1版增加了很多新功能，丰富的实时警报功能就是其中之一。3.1版的实时警报功能与3.0版相比可以说是一次质的飞跃，新版的警报功能即可以基于字节数、数据包数量、平均包长、TCP特征统计等流量统计信息设置警报，还可以设置邮件敏感字、可疑域名检测以及报文特征值的警报。利用这些灵活的警报功能可以让网管人员及时发现各种故障和安全隐患。本文就是一个利用科来回溯分析系统3.1版流量警报功能发现内网主机发送垃圾邮件的实例。背景介绍本文的网络环境是一家中国教育网用户的网络，内网使用公有IP地址，在其互联网出口部署科来回溯分析服务器，7*24小时捕获互联网入出站流量。由于内网使用公有IP地址没有做NAT，因此内网主机会直接面对来自互联网的各种威胁，端口扫描就是其中较常见的行为之一。为了及时监测端口扫描的行为，我们在分析服务器上设置了旨在发现特定端口的主机扫描行为的警报，如下图。科来回溯分析系统3.1版可以灵活的利用与或逻辑关系设置复杂的警报触发条件。这个警报就是监测网络中任意应用，如果某应用1秒钟内数据包数量超过100个，并且平均包长小于72字节则触发警报。通常来自互联网主机扫描会针对特定服务端口（如MSSQL 1433端口），短时间内向一个网段内每个IP发送连接请求，如果发现有某主机有TCP同步确认回应则与该主机建立TCP连接，而后进一步尝试漏洞攻击或弱口令尝试。由于TCP同步包和同步确认包都没有上层数据，因此这种主机扫描行为的数据包都很小，一般不会超过72字节。设置这个警报的初衷虽然是发现主机扫描行为，但是在实际使用时意外的发现某台内网主机在发送垃圾邮件时触发了这个警报。主机扫描警报的基本效果在设置案例中的主机扫描警报之前，我们要发现主机扫描行为通常是在“TCP分析”趋势图中找TCP同步包的异常峰值，但是如果流量较大的网络中短短1~3秒的主机扫描行为所触发的TCP同步包增加往往会被忽略。例如案例中的网络工作时段TCP同步包量在每秒400~600之间，偶尔每秒增加100个并不是非常明显，因而很多主机扫描行为没有被及时发现。在设置了案例中的警报之后，我们可以在控制台的趋势图中直观的看到每一次主机扫描的警报，同时在警报日志视图看到主机扫描所针对的应用服务，甚至不用切换到“TCP分析”趋势图，如下图所示。从上图中可以看到选中时段内有两次针对MSSQL应用的疑似主机扫描行为。3.1系统还增加了针对选中对象的分析功能（如选中某应用或某IP地址），在这里我们选中其中某警报日志条目，点击鼠标右键，选择“分析”菜单项，就可以针对选中时段的MSSQL应用进行单独分析，这样可以快速判断警报是否误报，如下图。从上图中可以看出，警报发生的时段某外网IP在短时间内尝试与内网所有主机的TCP 1433端口建立连接，由于内网主机都没有安装SQL Server，所以每个连接请求都没有得到应答，每个会话都只有1个数据包。可以断定这个外网IP在做全网段的MSSQL服务主机扫描。在案例中的网络中，我们利用这个自定义的主机扫描警报发现了大量的类似主机扫描行为。这些行为的共同特点是发生时间很短（整个扫描过程一般在3秒内完成），一次扫描会触发1~3次警报。扫描针对的应用主要集中在MSSQL、MySQL、Oracle等数据库端口以及CIFS、NetBios等共享端口，通常这些端口会容易受到漏洞攻击或弱口令攻击。这些行为在使用3.1版本之前需要非常仔细的观察和分析才能发现，现在我们可以及时的发现并在边缘设备上针对这些扫描的端口或IP地址进行过滤，避免更大的安全问题发生。意外的SMTP主机扫描警报在配置了自定义主机扫描警报之后，偶然发现某个时段有大量的针对SMTP应用的主机扫描报警，报警的频繁程度明显超过了其他的主机扫描行为。这次意外事件在1分多种的时间里触发了56次主机扫描警报，这明显与其他时段发生的主机扫描行为有区别。通常主机扫描者不会针对一个应用端口持续很长时间反复扫描。一般情况下，针对SMTP端口的SYN flood攻击才有可能持续触发我们定制的主机扫描警报，然而这种SYN flood攻击往往会在“TCP分析”趋势图上看到明显的TCP同步包数量增加，而从上图的“TCP分析”趋势图上却看不到这一现象。为了进一步分析判断这一事件的原因，我们使用3.1系统的应用统计分析功能，对这一时段的SMTP会话进行了统计分析。SMTP会话统计分析从上图中的流量趋势图上明显看到SMTP流量在警报发生的时段内有明显增加，最大流量超过150Kbps；在TCP会话视图中，我们看到一个内网