利用科来网络分析技术进行数据库暴力破解分析

ZDNet至顶网软件频道消息：端口扫描是网络中较为常见的行为之一，该行为是指端口发送消息，一次只发送一个消息，接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。由此网络管理员通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞，然后修补漏洞、制定完善的安全策略，当然也不排除是黑客攻击网络设备迈出的第一步棋子。本案例就是对MSSQL数据库服务器漏洞的扫描暴力破解行为。

案例分析

本案例是对某法院外网进行的一次监测分析。在核心交换机上部署了科来回溯式服务器，通过在总出口镜像将网络流量导入回溯式服务器，具体部署拓扑图如下：

通过回溯系统抓取几分钟数据，发现1个IP地址异常， 58.180.26.203这个IP地址共建立会话300多个，但是建立成功后会话报文都是小包，平均包长99B，于是选择这段时间段并下载此数据包进行下一步分析。

第一步查看该IP会话列表，发现58.180.26.203在与222.173.35.53(数据库服务器）通讯。数据包基本上是发送5个接收4个,数据包小，时间短暂、频快。而正常情况下同数据库通讯时，当会话成功建立后数据库会发送数据，特点：数据包偏大、时间长、频率稍微慢。可以推断，可能是外网用户在攻击本网络中的数据库，攻击者利用MSSQL的TCP 1433号端口，不断尝试利用弱口令尝试，如果成功的话就能获得目标主机的权限。

为了进一步验证判断，接下第二步来查看TCP会话的数据流。发现该地址对SQL SERVER每次会话扫描8到10报文不等，选择其中一个会话，查看数据流，发现攻击者果真正在尝试sa口令。如下图：

进行第三步分析，查看TCP会话时序图，双方会话建立成功后通讯数据很少，服务器在回应对方的尝试后，立刻终止了此会话，通过仔细查看300多个会话推测这些尝试并没有成功。

由此断定数据库服务器（222.173.35.53）遭到外网地址攻击。与网络管理员确认得知此地址确实是外网网站地址的数据库地址。为了进一步的安全考虑，尝试用站长工具进行一次端口扫描，查看网络中还有哪些端口是打开的。发现222.173.35.53：21、222.173.35.53：3389、222.173.35.53：1433这3个端口是开放的，且是黑客常攻击的端口。

为了进一步弄清58.180.26.203这个地址，登陆到站长工具查看发现是韩国的地址。

然后对其进行一次端口扫描，其3389端口也打开了，远程登陆不成功。

分析结论

由于此次抓包时间较短，未能完全将黑客的行为及结果分析透彻，若黑客继续攻击则有可能成功破解数据库密码，给用户带来不可估量损失。因此建议网络管理员在防火墙上做安全策略，拒绝外网用户访问MSSQL的1433端口，只对内部网络用户开放。另外对FTP的21和远程登陆为3389的端口拒绝外网访问或者关掉。