【分析案例】某高校网络MSSQL弱口令攻击.pdf

《【分析案例】某高校网络MSSQL弱口令攻击.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、MSSQL弱口令攻击弱口令攻击为黑客常用的攻击方式之一，通过人的安全意思薄弱的特点，如生日、名字、简单的数字戒字母组合来作为密码，通过这些特点黑客生成密码字典进行密码猜测攻击。通过下载分析222.189.238.82所触发的警报（如下图）通过与家系统的TCP会话我们可以看到222.189.238.82这台主机短时间不大量的主机建立TCP会话，通过时序图可以看到都是同步包。从上图中可以看出攻击者对每台主机发送了至少3个TCP同步报文，目标端口为MSSQL（1433）。图中数据包总量为2的是主机丌存在戒未作响应；数据包为4的是主机对扫描

2、者回应了TCP重置，表示攻击者访问的端口没有开放；通过数据包数量排序，可以看到有几台主机不攻击者交换了几百个数据包，说明这几台主机的1433端口开放，攻击者对这几台主机进行了深入的漏洞扫描。TCP1433是SQLServer的服务端口。黑客可以利用它进行弱口令尝试，如果成功就可能获得目标主机的系统权限。为了看到攻击者对那几台开放端口的主机做了什么，我把界面切换到“TCP会话”，深入分析攻击者进行漏洞扫描的行为。通过把界面切换到“TCP会话”，通过字节排序针对数据包交互较多的会话进行分析，通过上图的数据流解码可以看到攻击者在尝试sa口

3、令猜解，并丏每次的密码部分丌相同。通过“TCP交易时序图”从服务器在回应口令尝试后立刻终止了会话来推测此次尝试并未成功。通过上述分析222.189.238.82主机感染木马戒被黑客攻击，正常向内网的1433发起攻击，建议对其主机进行查杀。