【ハニーポットの検証】ハニーポット設置127日目 ~4月の攻撃の傾向は?~
本日、ハニーポットの大先生ともいえる@morihi_socさんが、WOWHoneypotのVersion1.1をリリースされたとのことで、早速「さくらVPS」のハニーポットをバージョンアップさせてみました。
どんな情報が取れるのか、楽しみですね!
さて、今回は4月の攻撃の傾向について、まとめてみます。先日記載したユーザ名とパスワードの件数から、4月は攻撃が大幅に減少していることがわかったのですが、どの程度下がってるのでしょうか。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
本題に入る前に、いつものハニーポットのデータです。
ハニーポットを停止させていた影響は、だいぶ解消されたようですね。
ネットワーク周りを変更すると、ルータの再起動等でグローバルIPが変更になるため、攻撃の傾向が大きく変わるようです。
可能であれば、ドメインを取得してDDNSで攻撃を集めたほうが安定するかもしれませんね。
ただ、準備とコストが必要なため、しばらくは、これまで通りグローバルIPのみで攻撃を収集してみたいと思います。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
今日は少しhoneytrapが多めに来ていますね。ベネズエラあたりが多いのでしょうか。
依然多発していたベトナムからの攻撃は落ち着いているようですが、日本からの攻撃は継続していますね。今後、動向をチェックしたいと思います。
4月の攻撃の動向
ハニーポット毎の攻撃回数
攻撃数を比較してみると、2月、3月は200万件~300万件超の攻撃を受けているにもかかわらず、4月には100万件に満たない73万5千件まで減少しています。
4月の記事を振り返ってみましたが、特にハニーポット周りやネットワーク周りをいじった事もありませんので、単純に攻撃が激減しているとみて間違いないでしょう。
決して少ない件数ではないのですが、半分以下まで減少しているのに、違和感を覚えますね。何らかの意図が存在するのでしょうか…?
国別の攻撃回数 TOP10
先月のTOPだったロシアと2位の中国からの攻撃が大幅に減少していますね。
ロシアに至っては、1位から6位まで転落しています。
また、先月5位のブラジル、6位のポーランド、8位の香港は、TOP10から転落していますね。
唯一、TOP10の中では日本が件数を伸ばしているのが特徴的ですね。
ポート毎の攻撃回数
Port別で見てみると、1位2位のSSH、Telnetに関するPort(Port:22、Port23)は不動のTOP2となっていますが、3位から大きく番狂わせが発生しています。
前回、3位だったPort:5900(VNCに関するポート)は、29位まで転落(59,250件→285件に減少)しており、前回ランク外であったPort:8933は、今回3位に急浮上(362件未満→12,121件に増加)しています。
このPortは、以前の記事にも記載しましたが、特に割り当てが行われていないPortで攻撃を調べ切れていないのが現状です。
ログから、Port:8933の攻撃の中身を調べるのが確実かとは思うのですが、まだ、はっきりとした回答を出せない状況ですね。
