垃圾郵件行為分析

垃圾郵件行為分析科來回溯分析系統(tǒng)最新的3.1版增加了很多新功能，豐富的實(shí)時(shí)警報(bào)功能就是其中之一。3.1版的實(shí)時(shí)警報(bào)功能與3.0版相比可以說是一次質(zhì)的飛躍，新版的警報(bào)功能即可以基于字節(jié)數(shù)、數(shù)據(jù)包數(shù)量、平均包長、TCP特征統(tǒng)計(jì)等流量統(tǒng)計(jì)信息設(shè)置警報(bào)，還可以設(shè)置郵件敏感字、可疑域名檢測以及報(bào)文特征值的警報(bào)。利用這些靈活的警報(bào)功能可以讓網(wǎng)管人員及時(shí)發(fā)現(xiàn)各種故障和安全隱患。本文就是一個(gè)利用科來回溯分析系統(tǒng)3.1版流量警報(bào)功能發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)發(fā)送垃圾郵件的實(shí)例。背景介紹本文的網(wǎng)絡(luò)環(huán)境是一家中國教育網(wǎng)用戶的網(wǎng)絡(luò)，內(nèi)網(wǎng)使用公有IP地址，在其互聯(lián)網(wǎng)出口部署科來回溯分析服務(wù)器，7*24小時(shí)捕獲互聯(lián)網(wǎng)入出站流量。由于內(nèi)網(wǎng)使用公有IP地址沒有做NAT，因此內(nèi)網(wǎng)主機(jī)會直接面對來自互聯(lián)網(wǎng)的各種威脅，端口掃描就是其中較常見的行為之一。為了及時(shí)監(jiān)測端口掃描的行為，我們在分析服務(wù)器上設(shè)置了旨在發(fā)現(xiàn)特定端口的主機(jī)掃描行為的警報(bào)，如下圖?？苼砘厮莘治鱿到y(tǒng)3.1版可以靈活的利用與或邏輯關(guān)系設(shè)置復(fù)雜的警報(bào)觸發(fā)條件。這個(gè)警報(bào)就是監(jiān)測網(wǎng)絡(luò)中任意應(yīng)用，如果某應(yīng)用1秒鐘內(nèi)數(shù)據(jù)包數(shù)量超過100個(gè)，并且平均包長小于72字節(jié)則觸發(fā)警報(bào)。通常來自互聯(lián)網(wǎng)主機(jī)掃描會針對特定服務(wù)端口（如MSSQL1433端口），短時(shí)間內(nèi)向一個(gè)網(wǎng)段內(nèi)每個(gè)IP發(fā)送連接請求，如果發(fā)現(xiàn)有某主機(jī)有TCP同步確認(rèn)回應(yīng)則與該主機(jī)建立TCP連接，而后進(jìn)一步嘗試漏洞攻擊或弱口令嘗試。由于TCP同步包和同步確認(rèn)包都沒有上層數(shù)據(jù)，因此這種主機(jī)掃描行為的數(shù)據(jù)包都很小，一般不會超過72字節(jié)。設(shè)置這個(gè)警報(bào)的初衷雖然是發(fā)現(xiàn)主機(jī)掃描行為，但是在實(shí)際使用時(shí)意外的發(fā)現(xiàn)某臺內(nèi)網(wǎng)主機(jī)在發(fā)送垃圾郵件時(shí)觸發(fā)了這個(gè)警報(bào)。1.1.主機(jī)掃描警報(bào)的基本效果在設(shè)置案例中的主機(jī)掃描警報(bào)之前，我們要發(fā)現(xiàn)主機(jī)掃描行為通常是在“TCP分析”趨勢圖中找TCP同步包的異常峰值，但是如果流量較大的網(wǎng)絡(luò)中短短1~3秒的主機(jī)掃描行為所觸發(fā)的TCP同步包增加往往會被忽略。例如案例中的網(wǎng)絡(luò)工作時(shí)段TCP同步包量在每秒400~600之間，偶爾每秒增加100個(gè)并不是非常明顯，因而很多主機(jī)掃描行為沒有被及時(shí)發(fā)現(xiàn)。在設(shè)置了案例中的警報(bào)之后，我們可以在控制臺的趨勢圖中直觀的看到每一次主機(jī)掃描的警報(bào)，同時(shí)在警報(bào)日志視圖看到主機(jī)掃描所針對的應(yīng)用服務(wù)，甚至不用切換到“TCP分析”趨勢圖，如下圖所示。從上圖中可以看到選中時(shí)段內(nèi)有兩次針對MSSQL應(yīng)用的疑似主機(jī)掃描行為。3.1系統(tǒng)還增加了針對選中對象的分析功能（如選中某應(yīng)用或某IP地址），在這里我們選中其中某警報(bào)日志條目，點(diǎn)擊鼠標(biāo)右鍵，選擇“分析”菜單項(xiàng)，就可以針對選中時(shí)段的MSSQL應(yīng)用進(jìn)行單獨(dú)分析，這樣可以快速判斷警報(bào)是否誤報(bào)，如下圖。

GODKfcOS115-W72?15ISd72?15ISdi5￡i762MII/12/0Kbps-72151947'2.15.i!W7215皿72151&47215GODKfcOS115-W72?15ISd72?15ISdi5￡i762MII/12/0Kbps-72151947'2.15.i!W7215皿72151&472151&472.15.194601&7|W2曹1433SB導(dǎo)14333B■H33MB亨M33&4E曹1433MB曹143364D導(dǎo)14333B導(dǎo)1JI33&4B掣1-533MB曹1433MB曹1433曹1433亨M33..1：1■606^7!?so臂607105.3G亨M33&4B曹OD9M5.107曹1433#611125.117力1J33出酬ERJ20ii/±yi311104.492011/12/13好Ml1/12/1311^492011/13/1.311;CM;4^11*4：492011/12/1311:04:40-2011/12/1311：D4：492011^2/1311.04145Z011/12/131lira.4-9aon/ia/ia*ntMiie3011/1^/13111CU1492011/12/13好Ml1/12/1311^49JOli/12/1311：&4:40-Mii/iJ/iSii：&4：402011/13/1311:04:4■怯Z011/12/1311104:432O1VT.2/L31LMi49ZOLl/rZ/13L1ID4.492011/12/19201Vl^/131誡詛辿92011/12/13好Ml1/12/1311^492011/12/1311:04:40-2D11/12/1311：D4：49Ajail/12/13ll：C>4!4g-Z011/12/1311104:43(2O1V1.2/L31LMI49ZOLl/rZ/13L1ID4.49J2011/12/19H1CM1A&2011/12/131誡詛辿9^2011/12/131LCH;4^S011/1.2/13ll;Ci4：49jaiiyizyiailcm："2011/12/1311：D4：492011/12/13ll.O4t49Z011/12/1311JD4.4.9■JflU9J1qH2011/12Z13111皿叫從上圖中可以看出，警報(bào)發(fā)生的時(shí)段某外網(wǎng)IP在短時(shí)間內(nèi)嘗試與內(nèi)網(wǎng)所有主機(jī)的TCP1433端口建立連接，由于內(nèi)網(wǎng)主機(jī)都沒有安裝SQLServer，所以每個(gè)連接請求都沒有得到應(yīng)答，每個(gè)會話都只有1個(gè)數(shù)據(jù)包?？梢詳喽ㄟ@個(gè)外網(wǎng)IP在做全網(wǎng)段的MSSQL服務(wù)主機(jī)掃描。在案例中的網(wǎng)絡(luò)中，我們利用這個(gè)自定義的主機(jī)掃描警報(bào)發(fā)現(xiàn)了大量的類似主機(jī)掃描行為。這些行為的共同特點(diǎn)是發(fā)生時(shí)間很短（整個(gè)掃描過程一般在3秒內(nèi)完成），一次掃描會觸發(fā)1~3次警報(bào)。掃描針對的應(yīng)用主要集中在MSSQL、MySQL、Oracle等數(shù)據(jù)庫端口以及CIFS、NetBios等共享端口，通常這些端口會容易受到漏洞攻擊或弱口令攻擊。這些行為在使用3.1版本之前需要非常仔細(xì)的觀察和分析才能發(fā)現(xiàn)，現(xiàn)在我們可以及時(shí)的發(fā)現(xiàn)并在邊緣設(shè)備上針對這些掃描的端口或IP地址進(jìn)行過濾，避免更大的安全問題發(fā)生。1.2.意外的SMTP主機(jī)掃描警報(bào)在配置了自定義主機(jī)掃描警報(bào)之后，偶然發(fā)現(xiàn)某個(gè)時(shí)段有大量的針對SMTP應(yīng)用的主機(jī)掃描報(bào)警，報(bào)警的頻繁程度明顯超過了其他的主機(jī)掃描行為?！鰅wfflar用inip?umawr?S4UipmFl.gmtcf-m|udpwKune■iwfflar用inip?umawr?S4UipmFl.gmtcf-m|udpwKunen<JJOI3^"L7/L^*hT"，i?n>D"?2D-1U11/LZlft!3:13ifiEJD-13/17/L3lb93:14jaii/12/LJ:L土皿路Mari*20-11/12^12Jitib2Q13/17/L21M3hI1WtEUiiLrwiSM▲n€心再h.MIH5MTC￡MTP&MTP■LMTPSMTPSMTP￡MTP&MTP2CHUli/L2山iidivii/LS1&獨(dú)崩WEE7HI|JL2/LJ1.6$Wzi?]m?/ii2**milZLS/LNMQlLg'LBlik3?:3J.□□■13/l^LJL虹"Q>bri*▲ifffA?WT口iMTDS-MTP1MTPRMTP■.MTn5-MTPG.MTP■ZLp731干EtMt:R?i*Z平!KHILF:TO<72毛折a；,Rtg不場由蒞■加-"牛T5曲忒：舶HTfflQJi?.:W-73耳>卅3：:44-:7234F7-：72干■恤*■07-7；平炒瓦：6?-7iT??WH:72陣:47推i3千邊由峽，5甲HMD睡1ET?9B4S：。彳事g各.*7手:ft咽聲U72這次意外事件在1分多種的時(shí)間里觸發(fā)了56次主機(jī)掃描警報(bào)，這明顯與其他時(shí)段發(fā)生的主機(jī)掃描行為有區(qū)別。通常主機(jī)掃描者不會針對一個(gè)應(yīng)用端口持續(xù)很長時(shí)間反復(fù)掃描。一般情況下，針對SMTP端口的SYNflood攻擊才有可能持續(xù)觸發(fā)我們定制的主機(jī)掃描警報(bào)，然而這種SYNflood攻擊往往會在“TCP分析”趨勢圖上看到明顯的TCP同步包數(shù)量增加，而從上圖的“TCP分析”趨勢圖上卻看不到這一現(xiàn)象。為了進(jìn)一步分析判斷這一事件的原因，我們使用3.1系統(tǒng)的應(yīng)用統(tǒng)計(jì)分析功能，對這一時(shí)段的SMTP會話進(jìn)行了統(tǒng)計(jì)分析。1.3.SMTP會話統(tǒng)計(jì)分析＜：.Tf*.aE^inrQ兼障昵!河|衲i＞：I典忙s鋤1DOOK1D315JJIJKICS國壽&用IPWPS隆TB啟話UDP是話Tr*a$5i；95ii目—TMIP與少岫'洲楠P的TCP2SWQ起了EgI典忙s鋤1DOOK1D315JJIJKICS國壽&用IPWPS隆TB啟話UDP是話Tr*a$5i；95ii目—TMIP與少岫'洲楠P的TCP2SWQ起了EgETU物尋15W3中專57葬費(fèi)C392”795費(fèi)濟(jì)I折卓3GL3J453210S42中:V1S3學(xué)174L4甲洶47*6JJJ9中泌HJ3457寸K161搟6L7L9中2S4O7軸56102.5159.3fi.lC2.5l59蹈(MSI59,^10251sg.S6.lC2.5L珥心cm金知皿俏59.^1025159.34.1C2.5LW.迥1E1W.M211J.37.129/JL211.157.129.JL211.1S7.12DSLIll.llT.lZSJL211.157129.Jl211.157.1293L211.137.12QJ：L112011,112/12IffiMOGMLL'lAi'li0訕1&2011/1^12Md4;MMlL/12/12心4：M2011,112.|'13lt54ilB3011/1^12I*54il62OLL/12/12lfc54;16XJlL,il2..!12l&U:比SOU皿fIE11X54116MLL/12/121&54I1TMlL/12/121&U：M2011,112/111&34H12011/1^12lfr54;M3CILL/12/121位弭迥7011,112.|'132011/1^12扭2011/12?12IftMiAXHL,il2.i!121&U:村zoikaanzlawig2H11/12/L2峨2C1V12/L22Q11/12/L2L?^:L6jaii/12/LJUc54：U2C11/1Z/L2驟2(H1/12/12lAtSiiU2Q1V12/L2晾池峙jaiU12/L21j&54：1j&JCll.riZ/1214.54JL42Q11/12/L2Lw5￡iL7L&EimJ0iyi3/L2L&5?!LL2C1V124J14.5if342Q11/12/L2lw5^:J52G11/12/L21J&54M52C11/13/L2UtSilM-2G11/12Z12th兄iM2(MV12/L2L■職942011/12/12lfic*34JGlli'lZ/LZJL0NE郭從上圖中的流量趨勢圖上明顯看到SMTP流量在警報(bào)發(fā)生的時(shí)段內(nèi)有明顯增加，最大流量超過150Kbps；在TCP會話視圖中，我們看到一個(gè)內(nèi)網(wǎng)IP在短時(shí)間內(nèi)與若干個(gè)外網(wǎng)IP的TCP25端口建立了很多TCP會話，這些會話并不像主機(jī)掃描行為那樣只有很少量的數(shù)據(jù)包，而是每個(gè)會話有幾個(gè)到幾十個(gè)不等（截圖中碰巧都是11個(gè)數(shù)據(jù)包）。至此基本排除了這些警報(bào)是主機(jī)掃描行為的可能性，但可以判斷這些TCP會話不是正常的郵件發(fā)送，因?yàn)檎５泥]件發(fā)送不會產(chǎn)生如此多的會話，而且正常郵件發(fā)送的平均數(shù)據(jù)包長度不會小于72字節(jié)。要了解些異常會話的真正作用，就需要對這些會話進(jìn)行數(shù)據(jù)包級解碼分析，于是我們將這一時(shí)段的SMTP應(yīng)用的數(shù)據(jù)包下載到控制臺，利用控制臺自帶的科來網(wǎng)絡(luò)分析模塊進(jìn)行解碼分析。1.4.SMTP數(shù)據(jù)流解碼分析下載SMTP數(shù)據(jù)包后，定位到“TCP會話”視圖，并且選中某個(gè)會話，查看其“數(shù)據(jù)流”信息，能夠完整展現(xiàn)一個(gè)TCP會話的應(yīng)用層數(shù)據(jù)交互信息。

w也i6y?云卓ae包字〒twk辭癇向字＜-?=□』w也i6y?云卓ae包字〒twk辭癇向字＜-?=□』59,輪皿51滔日5弘56,1皿占1;2§SMTP1011ID細(xì)履W「福塞「也ffi『飲戒『腿期壬啤『IW*「艘德「將嘗兵"姑登者XTUDP^S-r^§.921211i.9^M72/為160嶼制195i2iei9g?55也LiM5435S5102.51253159L.K.102,51:23雖545斑IDMi;25M1:25=3雙扯據(jù)玷心559?102.51:25踏1552[<B20L35S<Bt61071伯23L552電22L4?9KB5M114S9瞻SMTP9L55B<BWT：-7IBL*?B<E￡IMT>fill737BSMTP&蜀L傾EWT-'<h洶B湖B57flBS15B徹B671E6iDB泗B&HJBSE5B6iflgfifl5QgB汕BgBMSBJ9bB河E723BKB./Ml礦禎曲F腳|nne42;IPttlilt-BP.36,10^517KFiSD-2522G21CH-N4dua-AJncaEHLX>PC-2011121<]11322BD22CM-HedU!M2|SSZT沃。OK55SSZT沃。OK55。nosm-zhubti:從數(shù)據(jù)流信息中我們看到1這個(gè)外網(wǎng)IP有可能是21CN的郵件服務(wù)器，觸發(fā)警報(bào)的內(nèi)網(wǎng)IP在嘗試向21的某個(gè)不存在的用戶發(fā)送郵件，21CN的郵件服務(wù)器拒絕了這次郵件發(fā)送。繼續(xù)查看其他與21CN的TCP會話，發(fā)現(xiàn)每個(gè)會話的發(fā)件人都是“tyco110@163.com”，收件人郵箱地址在不斷變化，每個(gè)會話的收件人都不相同但郵件后綴都是“@12”。說明這個(gè)內(nèi)網(wǎng)IP的主機(jī)的郵件發(fā)送程序并不知道收件人的真實(shí)信息，而是在不斷變換郵件前綴嘗試向21CN的用戶發(fā)送郵件。由于該內(nèi)網(wǎng)IP在短時(shí)間內(nèi)向21CN的郵件服務(wù)器發(fā)起了大量SMTP會話，一段時(shí)間后21CN的郵件服務(wù)器拒絕了該IP的郵件發(fā)送請求。在該內(nèi)網(wǎng)IP與其他外網(wǎng)IP的SMTP會話中，我們看到了與21CN的會話相似的行為，這些外網(wǎng)IP包括“263.net”、“126.com”、“世紀(jì)互聯(lián)”等多家郵件服務(wù)提供商或IDC的郵件服務(wù)器地址，還包括一些中小型ICP的郵件服務(wù)器地址。在下載的全部4000多個(gè)SMTP會話中，成功發(fā)送郵件的會話不到10個(gè)，看來這個(gè)垃圾郵件發(fā)送程序的效率并不是很高，或者是內(nèi)置的用戶列表已經(jīng)過時(shí)了。在幾個(gè)成功發(fā)送的郵件會話中我們可以看到明顯的垃圾郵件內(nèi)容，如下圖。From:2312JxMLxlTEFz6IZLbH9LsaM2Vt3Tarxij?=Ta:we-tciiate-rplfi167-ccnDate:Nonr12Dec2011LT：1勺=3巳+0000X-Prlorlrvi3X-Mexler:23M2.3你前借邑曲到.商苦推廣利助仰只善T壬，就司氐詁排宕，L：：你的僖且回布互聯(lián)網(wǎng),在十丸卷敏UI郛〈二國同不明，百度CooPl?3f由菇浪理ilJ1EKY0K70M如等著名W那】?f萬個(gè)地有且帽'，，怫逐步排琶第一頁，M有裂萸小f間樣施果的廣皆曲十萬五)、散果奸等特點(diǎn)，是企止同噸推廣及產(chǎn)品唐目虧布的最任?作拜*在百度或誑娑2搜案到歷*市的信息和陰可.?，錄?正史艱怯-成果卻如此立竿見影,置京過程及婿顯芫至可攜世通