可能的数据库密码猜解行为

2012-08-06 · 网络分析 · 网络安全 · 14125 次阅读

在某客户处分析发现可疑的MSSQL会话。

在夜间的某个时间段内，流量出现了一个非常明显的峰值，峰值时间段内的“TCP会话”显示主要都是MSSQL会话，如下图所示：

这些MSSQL的会话特征非常明显，非常有规律，我们从TCP会话重组的报文中可以看到，每个会话的内容仅有“sa”之后的内容有差异，如下图所示：

上述情况是否能够说明这些IP正在针对X.X.X.48进行MSSQL数据库密码的猜解呢？