【分析案例】某高校网络MSSQL弱口令攻击.pdf

MSSQL 弱口令攻击 弱口令攻击为黑客常用的攻击方式之一 ，通过人的安全意思薄弱的特点，如 生日、名字、简单的数字戒字母组合来作为密码，通过这些特点黑客生成密码字 典进行密码猜测攻击。 通过下载分析222.189.238.82 所触发的警报（如下图） 通过与家系统的TCP 会话我们可以看到222.189.238.82 这台主机短时间不 大量的主机建立TCP 会话，通过时序图可以看到都是同步包。 从上图中可以看出攻击者对每台主机发送了至少3 个TCP 同步报文，目标 端口为MSSQL （1433 ）。图中数据包总量为2 的是主机丌存在戒未作响应；数 据包为4 的是主机对扫描者回应了TCP 重置，表示攻击者访问的端口没有开放； 通过数据包数量排序，可以看到有几台主机不攻击者交换了几百个数据包， 说明这几台主机的1433 端口开放，攻击者对这几台主机进行了深入的漏洞扫描。 TCP 1433 是SQL Server 的服务端口。黑客可以利用它进行弱口令尝试， 如果成功就可能获得目标主机的系统权限。 为了看到攻击者对那几台开放端口的主机做了什么，我把界面切换到“TCP 会话”，深入分析攻击者进行漏洞扫描的行为。 通过把界面切换到“TCP 会话”，通过字节排序针对数据包交互较多的会话 进行分析，通过上图的数据流解码可以看到攻击者在尝试sa 口令猜解，并丏每 次的密码部分丌相同。 通过“TCP 交易时序图”从服务器在回应口令尝试后立刻终止了会话来推 测此次尝试并未成功。 通过上述分析222.189.238.82 主机感染木马戒被黑客攻击，正常向内网的 1433 发起攻击，建议对其主机进行查杀。