郵件系統是企業單位最經常使用的網絡應用之一。郵件系統中一般有客戶的關鍵信息,一旦郵件系統癱瘓或被***掌控,那麼就會給企業帶來重大損失。本文兩個案例都是針對郵件服務器的***案例,希望通過這些實際網絡案例給大家有所幫助。
客戶環境說明
客戶爲某大型保險公司,郵件系統是該單位使用最爲頻繁的系統之一。該單位郵件系統分爲兩種:WEB登錄方式,和使用標準的SMTP POP3協議收發方式。科來回溯式分析服務器部署在數據中心的核心交換機上,通過span將DMZ區的所有服務器流量引入回溯服務器進行分析。
1.1. 針對郵件系統的暴力破解
9-20日在進行分析時發現分公司的一些IP在進行鍼對郵件服務器的暴力破解***。我們選擇2天時間窗口,然後選擇9/19的上午的數據進行分析。點擊“發tcp同步包”選項進行排名,我們發現IP 10.94.200.66的流量只有9.35MB但“tcp發送同步包”卻排名第三位,達到了20592個。這種TCP會話很多,流量又特別小的IP通常的比較異常的。我們選擇下載分析該IP數據包,進行深入分析。
更多案例盡在科來軟件官網。歡迎關注CSNA網絡分析論壇微博(http://weibo.com/csna)註冊後關注微博,即可獲得任務獎勵。