【ハニーポットの検証】ハニーポット設置32日目 ~VNC Authチャレンジは一定期間で発生?~~
新しい環境でT-POTを立ち上げて、早くも1か月が経過しました。ノートPCでハニーポットを起動しっぱなしにしているので、おそらく画面が焼き付いてしまうだろなぁと思いつつ、そのまま放置しています。
これまで、T-POT内のログが1か月以上なかったために、12月21日~その日までの期間で推移の確認を行っていましたが、これからは、直近1か月(30~31日間)のデータを使用して、推移を確認していきたいと思います。
それでは早速、直近1か月間の推移です。
期間的にみると、特に攻撃が多い日ではありません。
それでは、日ごとに見てみます(今回は、土曜日にブログを更新していませんので、土~日の2日間を同時に見ます)。
Cowrieは一時的に大きく下がっていますが、Vnclowpotが継続的に発生しています。Vnclowpotは、1月9日にも発生しており、その前は12月27日に発生となっています。
(1月9日の記事はこちら)
10日に1回程度、定期的に発生する攻撃なのでしょうか。
Vnclowpotでフィルターをかけると以下のようになります。
前回、1月9日の攻撃は主にロシアでしたが、今回の攻撃は香港となっています。攻撃元の国が異なるため、もしかすると、前回とは別の攻撃が、たまたま10日前後で発生している可能性があります。
接続元のIPアドレスもやはり大きく異なっており、前回の攻撃とは完成なさそうなことが分かります。
AS/NとIPアドレスのTOPが全くの同数というところから、香港からの攻撃は特定の1か所から発生している可能性が非常に強そうですね。
