邮件系统攻击分析.docVIP

Qfnns 亠 jf? stsao x*W I2 1tte i:■ ■?F7R *XX1?M IRxastit im i o ee: o0euM Qfnns 亠 jf? stsao x *W I 2 1 tte i :■ ■? F7R *XX1? M I Rxastit i m i o ee: o 0 euM ioo iriM 107^9 MB -20044 B ton^i in S lO-y^-iiriw o n 10.9Z14OA iOMAin lOMO.i V 2X106、 ia*QA2 S iox.i.85 S 10.y5.t7.w1 S exaxx S 10MQ.8S 9 2 wx■ (fl TT l ■■— M ■3 M 2S.se M 沁” M 4 M MB MB 5.50 MB 23 MB 157A2 MB IM MB —1 ■ M. n? OMO OO.i 110.117140^5? 60151IOVJ?4 M.7S1 45. MA 19.7M 61.939 11055 250^15 3V? ■XW3 XB72 2O.JM 30.510 M.MB ?8.8*2 1.7M m M.5M ”他 5.007 U1.IM 117.635 l41 ? 27W7 Mw75? 40.679 61.564 佩2 14 M7tun *02 UMai 1JZ78O LM1 O1 1.45 83.005 1 9 1 — 034 0.4J i j - 2O,W 0 a” le.oo 4 O.i? X48 XS.^M e ，.” ZI7 14, m e oa L7 i4.i$y 4 0^4 AU 17T 1 l.M X9O 1J.1M ? 0.5X :x. no Q 07 9 1^0 ?.0“ 4 024 L72 ?.Bit 1 Mf i.eo a 041 1^9 8.K* S l.M ?.?1 0.10 088 6.砂 8 a” ■HF A .A Aaatmt. mxert Mtcmim 邮件系统攻击分析 邮件系统是企业单位最经常使用的网络应用z-—。邮件系统中一般冇客户的关键信 息，一旦邮件系统瘫痪或被黑客掌控，那么就会给企业带来重大损失。本文两个案例都 是针对邮件服务器的攻击案例，希望通过这些实际网络案例给大家冇所帮助。 客户环境说明 客户为某人型保险公司，邮件系统是该单位使用最为频繁的系统z—。该单位邮件 系统分为两种：WEB登录方式，和使用标准的SMTP POP3协议收发方式。科来回溯式分 析服务器部署在数据屮心的核心交换机上，通过span将DMZ区的所有服务器流量引入 回溯服务器进行分析。 针对邮件系统的暴力破解 9-20日在进行分析时发现分公司的一些1P在进行针对邮件服务器的暴力破解攻击。 我们选择2夭时间窗口，然后选择9/19的上午的数据进行分析。点击“发tcp同步包” 选项进行排名,我们发现IP 10. 94. 200. 66的流最只有9. 35MB但“ tcp发送同步包”却 排名第三位,达到T 20592个。这种TCP会话很多,流量又特别小的IP通常的比较异 常的。我们选择下载分析该IP数据包，进行深入分析。 ? 222.1A2.1O^ltO x xur ■■■ 下载该TP的通信数据后我们发现，该TP在9/19 口上午对邮件服务器发起近超过2 万次TCP请求，而且密集时候每秒能发送100多个TCP同步包。 IBg UXMJ0a6646t5 X 泊M E08QI a lagM^w S xazjoowmg2M4646ft4xazjooaz?jg 16g XaUTOdMQ 丑 SAJ 祀 =■E 讣 卩?》r? MYfsrla10dadi 4 14lOMoeo17V17ITriip IB g UXMJ0a6646t5 X 泊M E08QI a lagM^w S xazjoowm g2M4646ft4 xazjooaz? jg 16g XaUTOdMQ 丑 SAJ 祀 = ■E 讣 卩?》r? MYfsr la10 dad i 4 14 lOMoeo 17 V 17 IT r ii p 146iKB ：1A20 M63 4 ll??K9 two S 3 saumo s? two g laocjoasMru 3 17 s S 19 iwa S 3 ?y i w?a M iaMJ0Q4M^7 0 MM^MO A lm a 9 W.MJ9Q4MAW S MMAMt IF UU?B M gMW—”, M IM4AM9 l ?IO? ? c? 务郢■昭多次相斷询 *wn ?10 ?so ?so *10 9)0 OOC4M M e ?10 OOrfM M ”0 ? 0)0 0