案例-垃圾邮件为分析.docxVIP

目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc312621751 科来回溯分析系统发现垃圾邮件发送行为 PAGEREF _Toc312621751 \h 1 HYPERLINK \l _Toc312621752 1. 背景介绍 PAGEREF _Toc312621752 \h 1 HYPERLINK \l _Toc312621753 2. 主机扫描警报的基本效果 PAGEREF _Toc312621753 \h 2 HYPERLINK \l _Toc312621754 3. 意外的SMTP主机扫描警报 PAGEREF _Toc312621754 \h 4 HYPERLINK \l _Toc312621755 4. SMTP会话统计分析 PAGEREF _Toc312621755 \h 5 HYPERLINK \l _Toc312621756 5. SMTP数据流解码分析 PAGEREF _Toc312621756 \h 6 HYPERLINK \l _Toc312621757 6. 案例总结 PAGEREF _Toc312621757 \h 8 第 PAGE 3页 发现垃圾邮件发送行为 科来回溯分析系统最新的3.1版增加了很多新功能，丰富的实时警报功能就是其中之一。3.1版的实时警报功能与3.0版相比可以说是一次质的飞跃，新版的警报功能即可以基于字节数、数据包数量、平均包长、TCP特征统计等流量统计信息设置警报，还可以设置邮件敏感字、可疑域名检测以及报文特征值的警报。利用这些灵活的警报功能可以让网管人员及时发现各种故障和安全隐患。 本文就是一个利用科来回溯分析系统3.1版流量警报功能发现内网主机发送垃圾邮件的实例。 背景介绍 本文的网络环境是一家中国教育网用户的网络，内网使用公有IP地址，在其互联网出口部署科来回溯分析服务器，7*24小时捕获互联网入出站流量。由于内网使用公有IP地址没有做NAT，因此内网主机会直接面对来自互联网的各种威胁，端口扫描就是其中较常见的行为之一。为了及时监测端口扫描的行为，我们在分析服务器上设置了旨在发现特定端口的主机扫描行为的警报，如下图。 科来回溯分析系统3.1版可以灵活的利用与或逻辑关系设置复杂的警报触发条件。这个警报就是监测网络中任意应用，如果某应用1秒钟内数据包数量超过100个，并且平均包长小于72字节则触发警报。 通常来自互联网主机扫描会针对特定服务端口（如MSSQL 1433端口），短时间内向一个网段内每个IP发送连接请求，如果发现有某主机有TCP同步确认回应则与该主机建立TCP连接，而后进一步尝试漏洞攻击或弱口令尝试。由于TCP同步包和同步确认包都没有上层数据，因此这种主机扫描行为的数据包都很小，一般不会超过72字节。 设置这个警报的初衷虽然是发现主机扫描行为，但是在实际使用时意外的发现某台内网主机在发送垃圾邮件时触发了这个警报。 主机扫描警报的基本效果 在设置案例中的主机扫描警报之前，我们要发现主机扫描行为通常是在“TCP分析”趋势图中找TCP同步包的异常峰值，但是如果流量较大的网络中短短1~3秒的主机扫描行为所触发的TCP同步包增加往往会被忽略。例如案例中的网络工作时段TCP同步包量在每秒400~600之间，偶尔每秒增加100个并不是非常明显，因而很多主机扫描行为没有被及时发现。 在设置了案例中的警报之后，我们可以在控制台的趋势图中直观的看到每一次主机扫描的警报，同时在警报日志视图看到主机扫描所针对的应用服务，甚至不用切换到“TCP分析”趋势图，如下图所示。 从上图中可以看到选中时段内有两次针对MSSQL应用的疑似主机扫描行为。3.1系统还增加了针对选中对象的分析功能（如选中某应用或某IP地址），在这里我们选中其中某警报日志条目，点击鼠标右键，选择“分析”菜单项，就可以针对选中时段的MSSQL应用进行单独分析，这样可以快速判断警报是否误报，如下图。 从上图中可以看出，警报发生的时段某外网IP在短时间内尝试与内网所有主机的TCP 1433端口建立连接，由于内网主机都没有安装SQL Server，所以每个连接请求都没有得到应答，每个会话都只有1个数据包。可以断定这个外网IP在做全网段的MSSQL服务主机扫描。 在案例中的网络中，我们利用这个自定义的主机