一、 FTP存在的安全隱患
FTP服務廣泛用於互聯網的文件雙向(即上傳與下載)傳輸。FTP是較早的互聯網協議,其安全性相對較弱,有較多安全漏洞。譬如,FTP以明文傳輸,數據很容易被盜取使用;FTP採用匿名訪問的模式,給黑客提供了現成的攻擊通道。歷年來FTP的安全事故頻繁出現,造成了嚴重的後果。
因此FTP服務,亟須專業的可視化監控系統,進行全方位監控管理,才能避免各種安全事故的頻發。下文以迪思分析系統為監控平臺,對FTP應用的監控管理做詳細闡述。
二、統計FTP的文件信息和錯誤信息
首先對FTP傳輸的文件進行信息統計,統計上傳/下載的文件個數,以及上傳/下載的字節數,以及傳輸中斷的連接數。同時,對FTP常見錯誤進行詳細統計。如服務關閉、連接關閉、未登錄、磁盤空間不足、無效命令等FTP錯誤的統計。通過統計的文件信息及FTP錯誤,可達到整體感知FTP服務運行狀態的目的。
三 、梯形圖分析FTP的應用性能
FTP應用本身性能的優劣,是關乎FTP服務能否優良交付的關鍵因素之一。迪思系統針對FTP應用生成對應的應用流,通過具體分析這些應用流,可以精確衡量當前FTP應用的性能狀況。以梯形圖中數據包的交互情況,直觀的展現了一個關鍵應用流中的具體情況。通過對多個關鍵應用流綜合的深入解析,而準確評判當前FTP應用的性能。
四 、回溯發現感染病毒木馬的主機
有的FTP服務器中毒後內部會成為病毒庫,訪問該FTP服務器的客戶端將不知不覺的下載病毒(因為下載過程在前端是透明的),而導致客戶端也中病毒。客戶端又會感染其他主機,這樣就形成了一個惡性循環。迪思分析系統可回溯原始可疑會話,發現異常主機。基於此,起到預防異常主機進行破壞的作用。
五、某次嗅探攻擊盜取FTP數據
以下是通過分析系統,分析某次FTP嗅探攻擊的流程。
1)一個異常主機
該主機開機後,並未運行軟件程序,但是經常出現內存佔用率超過80%的情況。技術人員初步認為是中毒所致,但是殺毒後並無效果。以迪思分析系統進行分析,發現該主機後臺建立了多個隱祕的異常連接,且該主機會不定時的進行內網掃描行為。顯然該主機的內存正是這些異常連接佔用了。
2)異常連接分析
該主機幾乎與內網所有主機建立了連接,數據的傳輸方向是由該主機到其他主機。另外,該主機還與內網中的FTP服務器長期建立連接,數據流是由FTP服務器到該主機。並且怪異的是,該主機竟然還和一個外網主機建立連接持續通信。通過數據回溯,發現經由該主機傳輸的數據都是FTP數據。
3)現象剖析
排查該主機,發現其中運行著一個不知名的異常小程序,正是該程序與外網主機進行通信的。經驗證,該程序是一種後門木馬程序。
原來,該主機被黑客植入了木馬,成為殭屍主機。黑客通過該殭屍主機,對FTP服務器進行ARP欺騙,將FTP服務器與其他主機的通信數據截獲。再將截獲的數據通過木馬程序傳輸給黑客,從而達到盜取FTP數據的目的。
六、小結
FTP服務存在較大的安全隱患,很容易被攻破。通過迪思高智能可視化分析系統輔助對於FTP的運維,將大大提高FTP服務的安全係數。