案例-垃圾邮件行为分析

1、目录科来回溯分析系统发现垃圾邮件发送行为11. 背景介绍12. 主机扫描警报的基本效果23. 意外的smtp主机扫描警报34. smtp会话统计分析55. smtp数据流解码分析56. 案例总结7发现垃圾邮件发送行为科来冋溯分析系统最新的3.1版增加了很多新功能，丰富的实吋警报功能就 是其中之一。3.1版的实时警报功能与3.0版相比可以说是一次质的飞跃，新版 的警报功能即可以基于字节数、数据包数量、平均包长、tcp特征统计等流量 统计信息设置警报，述可以设置邮件敏感字、可疑域名检测以及报文特征值的警 报。利用这些灵活的警报功能可以让网管人员及时发现各种故障和安全隐患。木文就是一个利用科来冋溯分

2、析系统3.1版流量警报功能发现内网主机发 送垃圾邮件的实例。1-背景介绍本文的网络环境是一家中国教育网用户的网络，内网使用公有ip地址，在 其互联网出口部署科來冋溯分析服务器，7*24小时捕获互联网入出站流量。由 于内网使用公有ip地址没有做nat,因此内网主机会直接面对来自互联网的各 种威胁，端口扫描就是其中较常见的行为之一。为了及时监测端口扫描的行为， 我们在分析服务器上设置了旨在发现特定端口的主机扫描行为的警报，如下图。科来回溯分析系统3.1版可以灵活的利用与或逻辑关系设置复杂的警报触 发条件。这个警报就是监测网络屮任意应用，如果某应用1秒钟内数据包数量超 过100个，并凡平均包长小于7

3、2字节则触发警报。通常来自互联网主机扫描会针对特定服务端口（如mssql1433端口），短 时间内向一个网段内每个ip发送连接请求，如果发现有某主机有tcp同步确认 回应则与该主机建立tcp连接，而后进一步尝试漏洞攻击或弱口令尝试。由于 tcp同步包和同步确认包都没有上层数据，因此这种主机扫描行为的数据包都 很小，一般不会超过72字节。设置这个警报的初衷虽然是发现主机扫描行为，但是在实际使用时意外的发 现某台内网主机在发送垃圾邮件时触发了这个警报。2.主机扫描警报的基本效果在设置案例屮的主机扫描警报之前，我们要发现主机扫描行为通常是在 “tcp分析”趋势图中找tcp同步包的异常峰值，但是如果流

4、量较大的网络中 短短仆3秒的主机扫描行为所触发的tcp同步包增加往往会被忽略。例如案例 屮的网络工作时段tcp同步包量在每秒400-600 z间，偶尔每秒增加100个并 不是非常明显，因而很多主机扫描行为没有被及时发现。在设置了案例屮的警报之后，我们可以在控制台的趋势图屮直观的看到每一 次主机扫描的警报，同吋在警报口志视图看到主机扫描所针对的应用服务，甚至 不用切换到“tcp分析”趋势图，如卜图所示。o开紳1丿运回溯分析x爲要统计 网络应用ipitbfth网段统计 物理&址i啥舌 徒合活tc啥舌udp会话 害报日志从上图中可以看到选中时段内有两次针对mssql应用的疑似主机扫描行 为。

5、3.1系统述增加了针对选屮对彖的分析功能（如选屮某应用或某ip地址）， 在这里我们选中其中某警报日志条目，点击鼠标右键，选择“分析”菜单项，就 可以针对选屮时段的mssql应用进行单独分析，这样可以快速判断警报是否误 报，如下图。o开细艮回溯分听q 囲（网増应用卜分听x249/2491店i p色国间 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 i 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12

6、/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49 2011/12/13 11:04:49洪口 60333* 60939t 59656曾 61074v 59589曹 61025曾 604

7、50* 99873警 60844t 60997 601676076265彎 60710 曹 60969 0 6111211165<-»q2 14336 1433 1433 1433 1433 1433 1433 1433 1433 1433 1433 1433 143364 b会话幵间1433 1433 1433 * 143364 b64 b64 b2011/12/13 114:49 2011/12/13 1104:49 2011/12/13 11km:49 2o1v12/13 1104:49 2011/12/13 11km:49 2011/12/13 1104:49 2011

8、/12/13 11km:49 2011/12/13 1104:49 2011/12/13 1104:49 2011/12/13 1104:49 2011/12/13 1104:49 2011/12/13 11k>4:49 2011/12/x 3 1104:49 2011/12/13 1104:49 2011/12/13 1104:49 2011/12/13 11km:49 2011/12/13 11)4:49 2011/12/13 11km:49 2o1v12/13 1104:49 >011/1/11 1 1 aa.alq从上图中可以看出，警报发生的时段某外网ip在短时间内尝试与内

9、网所有 主机的tcp 1433端口建立连接，由于内网主机都没冇安装sql server,所以 每个连接请求都没有得到应答，每个会话都只有1个数据包。可以断定这个外网 ip在做全网段的mssql服务主机扫描。在案例中的网络中，我们利用这个自定义的主机扫描警报发现了犬量的类似 主机扫描行为。这些行为的共同特点是发生时间很短（整个扫描过程一般在3 秒内完成），一次扫描会触发13次警报。扫描针对的应用主耍集屮在mssql、 mysql、oracle等数据库端口以及cifs、netbios等共享端口，通常这些端口 会容易受到漏洞攻击或弱口令攻击。这些行为在使用3.1版木之前需要非常仔细 的观察和分析才能

10、发现，现在我们可以及吋的发现并在边缘设备上针对这些扫描 的端口或ip地址进行过滤，避免更大的安全问题发生。3.意外的smtp主机扫描警报在配置了 口定义主机扫描警报z后，偶然发现某个时段有大量的针对smtp 应用的主机扫描报警，报警的频繁程度明显超过了其他的主机扫描行为。ipmmlt hwmtt wwxm ipm s*ei tcp*tf& udp>«础豹计网矯应用0*55（丿”匕审内网幻«1kb确分斬 x2011/12/12 16t53i922011/12/12 16:53:332011/12/12 16:53:342011/12/12 16i53i35201

11、1/12/12 16:53:362011/12/12 16:55:382011/12/12 16i53>41(""i2011/12/12 16:53*22011/12/12 16:5132011/12/12 16t53:442011/12/12 10is>>492011/12/1 i6is3>46201v12/12 10(91147011/12/12 16i9>i4b2011/1/12 16is)!4q2011/12/12 10i5li50aoli/12/12 10i5si912011/12/12 16i53i522011/12/12 10i5

12、)i5i:"m:;:3:n:2一=_一=一一_玄_專51倏! 71 12传®抵：7072wnz : 70 <72專>90炭：70 <72平诲®板：70 «72 ex 恢;69 <72平51* i 68 <72平祕&候：66 «72 ft* : 67 <72于1 67 <72杭1假« 6773i m 72事祕b鉄i 0?72杭1倏i 6772 etbk i 67 72"祕比| 0? 72i ” 72i 67 蹲灼佢* ' 0t72us* 百这次意外事件在1分多种的时间里

13、触发了 56次主机扫描警报，这明显与其 他时段发生的主机扫描行为有区别。通常主机扫描者不会针对一个应用端口持续 很长时间反复扫描。一般情况下，针对smtp端口的syn flood攻击才有可能 持续触发我们定制的主机扫描警报，然而这种syn flood攻击往往会在“tcp 分析”趋势图上看到明显的tcp同步包数量增加，而从上图的“tcp分析”趋 势图上却看不到这一现象。为了进一步分析判断这一事件的原因，我们使用3.1系统的应用统计分析功 能，对这一时段的smtp会话进行了统计分析。4. smtp会话统计分析o开馆臾回施分忻网培应用）分忻xsmtp200 0 kbps1600kbps100 0kt

14、)ps600kbps0 bps12z12 1653x(6 668网ifi应用ipttbtt i呛怎tchs um6话tcp#gf951/951】同f内wp与少数几个外网p的 tcp 酬口班了smtps明显勵016 66 3016661 > 38748 45831 15990 55736t 6892 "85 37146 30153v 45292t 10542 29168 17414 39447 63339 53433.2m57 35161 61719卡 28407 19*m«mt2畑2、僉fit开刀测阿mu间59.36.102.51 |112011/12/12 16:5

15、4:162011/12/12 16:54:1659.36.102.51 w112011/12/12 16:s4:162011/12/12 16:54:1659.36.102.5111201u12/12 16:54:16z011/12/12 16:54:1659.36.102.51112011/12/12 16:54:162011/12/12 16:54:16s9.36.102.s1v25112011/12/12 16:54:162011/12/12 16:54:1659.36.102.51112011/12/12 16:54:162011/12/12 16:54:1659.36.102.511

16、12011/12/12 16:54:162011/12/12 16:54:1659.36.102.s1f 25112011/12/12 1&s4:162011/12/12 16:54:1659.36.102.51v25112011/12/12 16:54:16201vu/12 16:54:1659.36.102.51t25112011/12/12 16:54:17201v12/12 16:54:1759.36.102.51112011/12/12 16:54x)12011/12/12 16:54:0159.36.102.51t25112011/12/12 16:54:112011/12

17、/12 16:54:11211.157.u931t25112011/12/12 16:54:34201v12/12 16:54:14211.157.129.31t25112011/12/12 16:54:342011/12/12 16:54:35211.157.129.31 25112011/12/12 16:54:342011/u/12 16:54:35211.157.129.31 25112011/12/12 16:54:342011/12/12 16:54: j4211.157.129.3111201v12/12 1&54:342011/12/12 16:54:34211.157

18、.129.31 25112011/12/12 16:54:342011/12/12 16:54: m211.157.129.31 25112011/12/12 16:54:342011/12/12 16:54: j4211.157.129.31 25n2011/12/12 16:54:352011/12/12 16:54:35从上图屮的流量趋势图上明显看到smtp流量在警报发生的吋段内有明显 增加，最人流量超过150kbps；在tcp会话视图中，我们看到一个内网ip在短 时间内与若干个外网|p的tcp 25端i建立了很多tcp会话，这些会话并不像 主机扫描行为那样只有很少量的数据包，i佃是每个

19、会话冇几个到几十个不等（截 图中碰巧都是11个数据包）。至此基木排除了这些警报是主机扫描行为的可能性，但可以判断这些tcp 会话不是正常的邮件发送，因为正常的邮件发送不会产生如此多的会话，而且正 常邮件发送的平均数据包长度不会小于72字节。要了解些异常会话的真正作用，就需要对这些会话进行数据包级解码分析， 于是我们将这一时段的smtp应用的数据包下载到控制台，利用控制台自带的 科来网络分析模块进行解码分析。5. smtp数据流解码分析下载smtp数据包后，定位到“tcp会话”视图，并月选屮某个会话，查 看其“数据流”信息，能够完整展现一个tcp会话的应用层数据交互信息。fa*理去理鈕xr

20、71;fitb2th» 1字节59.36.102.51:251.552 kb640 b949 b.9284199j121159.36.102.51:2559.36.102.51:2559.36.102.51:2559.36.102.51:2559.36.102.51:25妙8x9 .9:55444l9：7005190757763”9072.ws8159.36.102.51:2559.36.102.51:2559.36.102.51:2559.36.102.51:2520161393 kb1x)71 kb1.552 kbl489 kb1.558 kb231.558 kb11737 82

21、61.760 kb570 b815 b426 b640 b640 b640 b671 b949 b885 b885 b7646b949b6646b949b0396b341b9723b1x)54kbw,、mfb 诵凸 2: ip ifiilt 二 59.36.102.51, tcp 满口 = 25220 21cn-medu9a2 ntaehlo pc-201112101132250 2xch"ed"mrset250 okmail fl收件250 okrcpt d 550 no sucb user从数据流信息屮我们看到59.36.102.51这个外网ip有可能是21cn的邮件

22、服务器，触发警报的内网ip在尝试向的某个不存在的用户发送邮件, 21cn的邮件服务器拒绝了这次邮件发送。继续查看其他与21cn的tcp会话，发现每个会话的发件人都是 "tyco110",收件人邮箱地址在不断变化，每个会话的收件人都不相 同但邮件后缀都是"说明这个内网ip的主机的邮件发送程序并 不知道收件人的真实信息，而是在不断变换邮件前缀尝试向21cn的用户发送邮由于该内网ip在短吋间内向21cn的邮件服务器发起了大量smtp会话， 一段时间后21cn的邮件服务器拒绝了该ip的邮件发送请求。在该内网ip与其他外网ip的smtp会话中，我们看到了与21cn的会话 相

23、似的行为,这些外网ip包括“”、“”、“世纪互联”等多家邮 件服务提供商或idc的邮件服务器地址，还包描一些中小型icp的邮件服务器 地址。在下载的全部4000多个smtp会话中，成功发送邮件的会话不到10个， 看来这个垃圾邮件发送程序的效率并不是很高，或者是内置的用户列表己经过时 了。在几个成功发送的邮件会话屮我们可以看到明显的垃圾邮件内容，如下图。from: tycoll0163comsubjecc: =?g32312?b?xoolxndfz6lklbw9lsnmzvhnxrnjso/w-rstj?=to: webmasterdate: mon, 12 dec 2011 17:14:38 +0800x-prior