サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置83日目 ~セイシェルからの攻撃は?(セキュリティ人狼やりたい)~

ハニーポット(T-POT)

 最近、暖かいのか寒いのかよくわからない気温ですね。

そんな中、スマホ人狼ゲームにはまってしまいました。

セキュ狼もやってみたいなぁと思いつつ、そこまでセキュリティに興味のある人を集められないジレンマに陥っています。

www.jnsa.org

 JNSAさん、ぜひスマホアプリで、オンライン対戦できるセキュ狼を提供してください!笑

 

と、いうわけで、本日の状況を見てみたいと思います。

 まずは、過去7日間の推移です。

【全ハニーポット

f:id:tk-secu:20180317004407p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180317004423p:plain

こう見ると、honeytrapは一時的なものだったようですね。

ただ、ぽつんぽつんと飛び出しているので、もしかすると、一定周期で攻撃があるのかもしれません。

 

1日分のログで詳細を見てみます。

【全ハニーポット

f:id:tk-secu:20180317004649p:plain

f:id:tk-secu:20180317004659p:plain

f:id:tk-secu:20180317004709p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180317004549p:plain

今日も午前3時から3時30分の間にセイシェルからhoneytrapに大量の攻撃が来ていますね。

 

使用されたPortは「4」「47」「121」「170」「180」となっています。

Port 4:攻撃「Midnight Commander」で使用される可能性がある。

   Port 4 (tcp/udp) :: SpeedGuide

Port 47:NI FTP

Port 121:様々な攻撃で使用される可能性がある。

    Port 121 (tcp/udp) :: SpeedGuide

Port 170:トロイの木馬で使用される可能性がある。

    Port 170 (tcp/udp) :: SpeedGuide

Port 180:Intergraph

 

いずれも、Well Known Portsであることが特徴的かと思います。

前回とは違ったポートなので、全く違う相手からの攻撃なのでしょうか?

それとも同じ場所から手法を変えて攻撃してきているだけなのでしょうか?

 

どなたか、ご一緒にセキュ狼やりませんか?