如何分析暴力破解数据库密码的攻击行为
数据库被攻击是非常严重的安全事件,该攻击能导致数据被拖库,从而给服务提供商带来严重损失,甚至会也会导致用户信息被泄漏。
11.1 环境描述
科来网络分析工程师在对某机构外网进行网络健康检查时,为其核心交换机部署了科来网络回溯分析系统,镜像总出口网络流量并导入回溯分析设备。具体部署情况,如下方拓扑图所示。
图 11-1
11.2 分析过程
通过科来网络回溯分析系统,捕获一段时间的数据,发现1个IP地址异常。可以看到X.X.26.203地址共建立会话300多个,但是建立成功后,会话报文都是小包,平均包长99B,如下图所示。
图 11-2
下载此数据包进行深入分析,第一步查看IP会话列表,如下图所示。
图 11-3
通过查看IP会话列表,发现X.X.26.203与X.X.35.53(数据库服务器)的通讯规律:向数据库发送5个小数据包并接收4个小数据包,通讯时间短暂且频率极快。而正常的数据库通讯规律具有数据包偏大、通讯时间较长、通讯频率较慢的特征。
该异常现象可能是外网用户攻击数据库所导致,攻击者通过MSSQL的1433号端口,不断利用弱口令尝试获取目标主机的控制权限。为了进一步验证判断,科来网络分析工程师开始查看TCP会话的数据流,如下图所示。
图 11-4
该IP地址对SQL SERVER的每次会话扫描,报文长度均在8到10字节之间,选择其中一个会话查看数据流,发现攻击者果真在尝试sa口令。
图 11-5
如上方TCP会话时序图所示,双方会话建立成功后通讯数据很少,服务器在回应对方的尝试后,立刻终止了此会话。通过仔细查看300多个会话内容,推测这些尝试并没有成功。
由此断定数据库服务器(X.X.35.53)外网地址遭到攻击。科来网络分析工程师在与网络管理员沟通后,得知该地址确实是数据库的外网地址。出于安全考虑,用站长工具对各端口进行扫描,查看在网络中还有哪些端口是开放状态,如下图所示。
图 11-6
共计发现3个端口处于开放状态(端口21、1433、3389),同时这三个端口也是黑客经常攻击的端口。
通过登录站长工具查看,发现X.X.26.203是韩国的地址。
图 11-7
然后对该地址进行一次端口扫描,如下图所示。
图 11-8
其3389端口也处于开放状态,随后尝试远程登录。
图 11-9
对话框中显示“输入的用户名或密码不正确,请重新输入”。
11.3 分析结论
端口扫描是网络中较为常见的行为之一,端口扫描是指向每个端口发送消息,一次只发送一个消息。按照回应信息类型判断端口是否可使用,并由此探寻弱点。网络管理员通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞,然后修补漏洞、制定完善的安全策略。然而这种行为也由可能是黑客为攻击网络设备所迈出的第一步。
由于此次抓包时间较短,未能完全将黑客的行为及结果分析透彻。如果黑客继续攻击,就有可能成功破解数据库密码,给用户带来不可估量的损失。因此,建议网络管理员在防火墙上做安全策略,拒绝外网用户访问MS SQL的1433端口,只对内部网络用户开放。另外,FTP的21端口和远程登录的3389端口,也应拒绝外网访问或者干脆关掉。
11.4 价值
数据库一直都是攻击者的重点关注目标,然而攻击者无论采用何种共计手段,我们都可以通过网络流量分析技术及时发现问题,定位问题原因,找出其利用的漏洞并及时更新补丁,避免出现数据被泄漏而无感知的情况。