利用科来网络分析技术进行数据库暴力破解分析由于此次抓包时间较短,未能完全将黑客的行为及结果分析透彻,若黑客继续攻击则有可能成功破解数据库密码,给用户带来不可估量损失。因此建议网络管理员在防火墙上做安全策略,拒绝外网用户访问MSSQL的1433端口,只对内部网络用户开放。另外对FTP的21和远程登陆为3389的端口拒绝外网访问或者关掉。 通过回溯系统抓取几分钟数据,发现1个IP地址异常,58.180.26.203这个IP地址共建立会话300多个,但是建立成功后会话报文都是小包,平均包长99B,于是选择这段时间段并下载此数据包进行下一步分析。 第一步查看该IP会话列表,发现58.180.26.203在与222.173.35.53(数据库服务器)通讯。数据包基本上是发送5个接收4个,数据包小,时间短暂、频快。而正常情况下同数据库通讯时,当会话成功建立后数据库会发送数据,特点:数据包偏大、时间长、频率稍微慢。可以推断,可能是外网用户在攻击本网络中的数据库,攻击者利用MSSQL的TCP 1433号端口,不断尝试利用弱口令尝试,如果成功的话就能获得目标主机的权限。 为了进一步验证判断,接下第二步来查看TCP会话的数据流。发现该地址对SQL SERVER每次会话扫描8到10报文不等,选择其中一个会话,查看数据流,发现攻击者果真正在尝试sa口令。如下图:
责编:李玉琴  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
