邮件系统是企业单位最经常使用的网络应用之一。邮件系统中一般有客户的关键信息,一旦邮件系统瘫痪或被黑客掌控,那么就会给企业带来重大损失。本文两个案例都是针对邮件服务器的攻击案例,希望通过这些实际网络案例给大家有所帮助。
客户环境说明
客户为某大型保险公司,邮件系统是该单位使用最为频繁的系统之一。该单位邮件系统分为两种:WEB登录方式,和使用标准的SMTP POP3协议收发方式。科来回溯式分析服务器部署在数据中心的核心交换机上,通过span将DMZ区的所有服务器流量引入回溯服务器进行分析。
1.1. 针对邮件系统的暴力破解
9-20日在进行分析时发现分公司的一些IP在进行针对邮件服务器的暴力破解攻击。我们选择2天时间窗口,然后选择9/19的上午的数据进行分析。点击“发tcp同步包”选项进行排名,我们发现IP 10.94.200.66的流量只有9.35MB但“tcp发送同步包”却排名第三位,达到了20592个。这种TCP会话很多,流量又特别小的IP通常的比较异常的。我们选择下载分析该IP数据包,进行深入分析。