在政府、企事业单位以及行业用户投入大量人力财力在网络安全防护之后,恶性网络安全事件仍频生不断,其隐蔽复杂多变的网络攻击手段,使得网络安全管理部门难以发现甚至无以感知,往往造成难以估量的巨大损失,事后又难于历史回溯取证和进行责任界定。
因此,如何突破传统网络安全之困,切实保障核心数据及关键系统的安全,是现阶段亟需解决的问题,也是每个单位亟需完成的安全任务。
网络分析技术通过对网络原始数据的主动分析,能够从大流量中快速发现网络异常行为,大大提升了用户对网络威胁的感知能力,同时能够还原完整的攻击行为,快速定位攻击者,确定攻击手段并评估影响。
下面,我们通过一个案例了解一下如何利用网络分析技术溯源黑客攻击。
一、 问题描述
科来网络分析专家在例行为某大型行业客户进行网络安全检查服务中发现该用户有一台服务器(*.77)有大量扫描流量,被疑似感染病毒。客户部署科来网络回溯分析系统在内网的核心交换机上,对经过核心的流量进行监控与分析。
二、 分析过程
正常内网TCP同步包与TCP同步确认包之间的比值应为1:1,当TCP同步包远大于同步确认包时,说明网络可能存在扫描行为。13:32之前,*.77通讯的IP地址只有34个,同步包与同步确认包数量很少,并且基本相等。不存在扫描行为,如上图。
*.77每隔6秒主动发起一次对118.193.228.240的连接,直到13:14:24才连接成功。从数据流的解码中我们可以看到rdpdr,rdpsnd,drdynvc和cliprdr等名字,而这些名字都是FreeRDP库的名字。FreeRDP是一个免费开源实现的一个远程桌面协议(RDP)工具,用于从Linux下远程连接到Windows的远程桌面,如上图。
建立远程桌面后13:16,*.77开始访问117.18.15.32。从目录上可以看到这个网站上有各种常用的黑客软件,如上图。
*.77在这个服务器上下载了DToolsSQL,ntscan, hsan , ssh爆破等各种黑客软件,如上图。
13:32到13:36,IP数猛增到15000+,同步包也开始与同步确认包出现较大差值,扫描开始,如上图。
*.77扫描内网地址,每个地址发2个TCP同步包,由于扫描的地址大多数不存在并不能得到回应,所以会造成上文提到的同步包与同步确认包出现较大差值,如上图。
当扫描到存在的IP地址时,如下图(以*.71为例):三次握手建立成功后,*.77会直接发RST包断开连接,继续扫描后面的IP地址。但是*.71会被记录下来进行后续攻击,如上图。
接着*.77开始扫描*.71的一些常用端口,确定*.71开了哪些端口以便进行后续攻击,上图中只有80端口的会话有7个数据包,说明有过回包。
端口扫描结束,*.77会对*.71打开的端口进行漏洞测试,尝试找到漏洞进行入侵。
三、 分析结论
通过上文中的分析,我们可以确定*.77已经被黑客控制,并且黑客正在以此为跳板尝试向内部入侵。在该用户网络安全管理人员随即禁止*.77访问上文中提到的外网IP及端口(118.193.228.240 TCP 1718,117.18.15.32等),并对*.77进行处理。
通过这个案例我们了解到,在网络分析技术的帮助下,通过简单的步骤即可定位肉机,并为该事件做定性分析,有效阻断了黑客攻击。
因此,可以讲,网络分析技术是保障网络安全的最后一道防线。 
