這天，某高校網(wǎng)絡(luò)突然爆發(fā)了大量的安全告警，運(yùn)維人員迅速響應(yīng)，通過(guò)部署的安博通“鷹眼”全流量取證系統(tǒng)，展開(kāi)了一場(chǎng)緊張而有序的排查工作……

網(wǎng)絡(luò)攻擊事件分析

告警列表顯示，學(xué)校的Web服務(wù)在短時(shí)間內(nèi)受到了大量外部攻擊，這些攻擊均由同一IP發(fā)起，且告警形式多樣。

初步推測(cè)，可能是惡意IP在使用某種掃描工具對(duì)學(xué)校的Web業(yè)務(wù)進(jìn)行漏洞掃描。

選取某一條攻擊流量，使用“鷹眼”在線分析功能，對(duì)網(wǎng)絡(luò)流量的原始報(bào)文進(jìn)行深入分析。在惡意IP的一段HTTP報(bào)文中，可以看到明顯的攻擊跡象。

報(bào)文顯示：可疑IP在嘗試訪問(wèn)editPass.html頁(yè)面時(shí)，傳遞的參數(shù)中嵌入了非法SQL語(yǔ)句，攻擊者企圖利用extractvalue函數(shù)實(shí)施報(bào)錯(cuò)注入攻擊。

這種手法是SQL注入攻擊的常見(jiàn)變種，攻擊者通過(guò)構(gòu)造特定的SQL語(yǔ)句，觸發(fā)數(shù)據(jù)庫(kù)錯(cuò)誤信息，從而竊取敏感數(shù)據(jù)。

分析結(jié)論

該外網(wǎng)惡意IP針對(duì)學(xué)校Web業(yè)務(wù)的登錄頁(yè)面，發(fā)起了包括SQL注入在內(nèi)的多種攻擊。

處置方法

該惡意IP處于攻擊嘗試階段，在外網(wǎng)防火墻中對(duì)其進(jìn)行封禁，阻斷進(jìn)一步的攻擊行為。同時(shí)，對(duì)Web業(yè)務(wù)進(jìn)行全面的漏洞檢測(cè)，確保系統(tǒng)不存在可被利用的安全漏洞。

惡意掃描事件分析

在同期監(jiān)測(cè)中，“鷹眼”還捕獲了大量風(fēng)險(xiǎn)掃描告警。按照常規(guī)處置流程，對(duì)于涉嫌惡意攻擊的IP地址，應(yīng)立即執(zhí)行封禁。

然而，運(yùn)維人員發(fā)現(xiàn)了異常情況：引發(fā)告警的源IP竟是內(nèi)網(wǎng)IP地址，這些攻擊行為是由內(nèi)部網(wǎng)絡(luò)對(duì)外發(fā)起的。

告警的內(nèi)網(wǎng)IP是無(wú)線接入點(diǎn)（AP）的網(wǎng)絡(luò)地址，查詢外網(wǎng)IP對(duì)應(yīng)的域名，推測(cè)該IP可能是云計(jì)算節(jié)點(diǎn)。

基于以上分析，初步判斷這些告警并非網(wǎng)絡(luò)攻擊事件。運(yùn)維人員篩選出相關(guān)的安全告警，下載可疑流量的原始報(bào)文并分析，在報(bào)文內(nèi)容中獲取到了關(guān)鍵信息。

報(bào)文顯示：源IP請(qǐng)求中的host字段有二級(jí)域名信息，同時(shí)apikey字段表示這個(gè)請(qǐng)求可能是在訪問(wèn)API接口。通過(guò)whois查詢發(fā)現(xiàn)，該二級(jí)域名的根域名指向某網(wǎng)絡(luò)公司，可能與該公司的廣告服務(wù)有關(guān)。

分析結(jié)論

內(nèi)網(wǎng)IP下的某電視業(yè)務(wù)頻繁更新廣告。

處置方法

將此域名加入黑名單。

在安全實(shí)戰(zhàn)中，應(yīng)用安博通“鷹眼”全流量取證系統(tǒng)，通過(guò)精簡(jiǎn)有效的分析步驟——快速評(píng)估、信息收集、初步定位、深入分析和實(shí)施應(yīng)對(duì)——實(shí)現(xiàn)安全事件的迅速響應(yīng)，保障校園網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。