【ハニーポットの検証】ハニーポット設置29日目 ~韓国の乱 再び~
久々に少し、飲みすぎてしまい頭がぼーっとしていますので、今日は更新をお休みしようかと思いましたが、気になる推移がありましたので記事を更新します。
酔った状態での更新ですので、誤字・脱字はご了承ください。
まずは、いつもの期間指定(12月21日~本日)の結果です。
この中で気になったのは、「Honeypot Events by Type Histogram」の「Cowrie」の件数です。前日までと違い、件数が飛びぬけています。グラフ的には、1月10日に韓国から大量にアクセスのあった日と同程度の件数が届いているようです。
本日、「cowrie」というキーワードはわかっていますので、まずはそのキーワードでフィルタリングを行ってみました。結果は以下の通りです。
ある一定の時間で韓国から、大量に攻撃が届いていますね。
1月10日の攻撃の再来でしょうか?
次に、韓国をフィルタリングしてみます。
エリアは2か所に分散されているようです。これは、攻撃の時間帯によって攻撃しているエリアが異なるということなのでしょうか?
こちらを見る限り、IPアドレスは、3か所に分散しています。
しかし、それらはすべて「Korea Telecom」となっています。
このことから、可能性として、すべて同一の攻撃であった、もしくは、たまたま同日に第1オクテットが211の攻撃と第1オクテットが14の攻撃の2パターンが発生したかのいずれかの可能性が高いと思われます。
いずれにしても、今後の動向が気になるところです。
