【ハニーポットの検証】プロバイダによって攻撃傾向は変わるか?
中途半端な時期ですが、3月28日より、プロバイダを変更してみました。グローバルIPが大きく変わるため、攻撃の傾向ももしかしたら変わるかなという試みです。
また、変更後のプロバイダはNOTICEに参加しているプロバイダでもあり、これまでほとんどNOTICEからチェックが来ていなかったうちのハニーポット環境にも、もしかするとNOTICEからチェックが来るかもしれない、という狙いもあります。
ハニーポットへの攻撃状況
【1日あたりの攻撃数の比較】
変更前は、1日あたり200万件を超える攻撃を着信しています。
しかし、変更後はまだ2万件に満たない攻撃件数であり、その数は100分の1まで減少しています。
いかに、これまで既知の攻撃先として狙われていたのかがわかりますね。
なお、現時点では、まだNOTICEからのアクセスはありませんでした。
【その他の攻撃状況】
攻撃を受けたCVEとシグネチャの比較はこのようになります。
変更前はDoublePulsarと同じ程度のTELNETのBAD loginがあります。また、CVEも2006−2369が大半を占めています。
変更後は、DoublePulsarは多いもののTELNETのBAD loginは800件弱と、件数が全く異なります。
また、CVE2006-2369も姿を見せず、CVE2001-0540が少しだけという状況になっています。
まだ、稼働日が少ないために攻撃者から認知されていない(けど、ドメインは継承しているんですけどね…ドメインに向けた攻撃がないということか…)ため、攻撃件数が少ないことが考えられます。
しばらく@niftyで運用を行ってみて、件数の比較を行ってみたいと思います。
フレッツを3回線に増やして、並列させるのも楽しそうな気がしてきました。
今度、検討してみます・・・。