サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置127日目 ~ドメインを導入しました~

ハニーポット(T-POT)

先日、ネットワーク環境の再構築を行った際にグローバルIPアドレスが変更になったようで、ハニーポットへのアクセスが一時的に減少していました。

 

そこで、DDNSを使用して、ドメインを構築しましたが、攻撃の傾向はどうなっているでしょうか。

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180508225328p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180508225338p:plain

ドメインの導入自体は日曜日に実施していたのですが、日曜・月曜はほとんど変化がありません。

今日になって初めてCowrieとMailoneyに少し大きめの攻撃が来ていますが、これはドメインに対する攻撃なのでしょうか?

 

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180508225455p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180508225506p:plain

今日は一時的にMailoneyに対する攻撃が非常に多いという特徴的なグラフになっています。

f:id:tk-secu:20180508225634p:plain

こちらを見ていただくと分かる通り、ほぼ同じ場所からの攻撃ですね。

HandShakeの状況は、以下の通りです。

f:id:tk-secu:20180508230036p:plain

4,974回の内訳は、AUTH LOGINと、EHLO ylmf-pcがちょうど半々ですね。

いずれにしても認証を突破しようとしているのでしょうか。

ただ、おそらく一時的な攻撃のように思えます。

 

今回の観測では、ドメインによるアクセス増があったかどうかははっきり分かりません。

ただ、「No-IP」という無料のDDNSサービスを使用してドメインの運用を行うようにしましたので、このドメインを育てれば、目に見えて攻撃の数が増加することでしょう。

ちなみにドメインは「tk-sec.hopto.org」となっています。

興味のある方は、ブラウザでご覧いただくと、ハニーポットのサイトをご覧いただくことが可能です。