ハニーポット簡易分析(63-67日目:10/9-10/13)
Honeytrap の簡易分析 63-67日目になります。
Honeytrap簡易分析結果
<検知数(80ポートを除く)>
10/9ごろより、検知数が増加しています。検知数の増加は以下のIPからの通信が増加したためでした。
IP | 検知数 | 割合 |
195[.]19[.]10[.]195 | 77,444 | 37.80% |
62[.]76[.]75[.]210 | 42,943 | 20.96% |
195[.]19[.]10[.]194 | 32,333 | 15.78% |
いずれもロシアからの通信であり、通信内容は「Cookie: mstshash=Test」であり、調査行為相当の通信と思われます。AbuseIPDBでも報告が上がっており、特にターゲットを絞らずに攻撃していると思われます。
<宛先ポート別検知数 TOP10>
※80ポートを除く
2018/10/9 19,929件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 3,027 | 15.19% | SMB |
113 | 506 | 2.54% | auth/IDENT |
8443 | 156 | 0.78% | ? |
3389 | 124 | 0.62% | RDP |
52869 | 103 | 0.52% | D-Link, Realtek SDK |
443 | 100 | 0.50% | HTTPS |
8080 | 94 | 0.47% | PROCY |
8008 | 81 | 0.41% | ? |
9001 | 76 | 0.38% | ? |
8000 | 72 | 0.36% | ? |
2018/10/10 6,450件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,853 | 44.23% | SMB |
81 | 697 | 10.81% | GoAhead Web Server |
4022 | 221 | 3.43% | ? |
9022 | 220 | 3.41% | ? |
8022 | 118 | 1.83% | ? |
222 | 116 | 1.80% | SSH |
2222 | 105 | 1.63% | SSH |
22 | 104 | 1.61% | SSH |
52869 | 94 | 1.46% | D-Link, Realtek SDK |
1433 | 70 | 1.09% | Microsoft SQL Server |
2018/10/11 19,939件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,984 | 14.97% | SMB |
81 | 1,850 | 9.28% | GoAhead Web Server |
22 | 644 | 3.23% | SSH |
8022 | 91 | 0.46% | ? |
222 | 88 | 0.44% | SSH |
3389 | 82 | 0.41% | RDP |
2222 | 71 | 0.36% | SSH |
10001 | 63 | 0.32% | ? |
1433 | 50 | 0.25% | Microsoft SQL Server |
8080 | 44 | 0.22% | PROCY |
2018/10/12 98,209件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,742 | 2.79% | SMB |
81 | 1,931 | 1.97% | GoAhead Web Server |
3389 | 82 | 0.08% | RDP |
2222 | 71 | 0.07% | SSH |
222 | 69 | 0.07% | SSH |
102 | 64 | 0.07% | iso-tsap |
22 | 58 | 0.06% | SSH |
8022 | 57 | 0.06% | ? |
1433 | 54 | 0.06% | Microsoft SQL Server |
8080 | 50 | 0.05% | PROCY |
2018/10/13 63,547件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,835 | 4.46% | SMB |
502 | 97 | 0.15% | Modbus Protocol |
81 | 68 | 0.11% | GoAhead Web Server |
3389 | 63 | 0.10% | RDP |
1433 | 51 | 0.08% | Microsoft SQL Server |
6379 | 35 | 0.06% | ? |
123 | 32 | 0.05% | NTP |
2082 | 32 | 0.05% | ? |
49 | 32 | 0.05% | TACACS |
4991 | 32 | 0.05% | VITA Radio Transport |
<ポート 81宛ての通信>
特定のIPからGoAhead Web Server が存在するかの調査行為の通信を大量に検知していました。内容はGETリクエストのみであるため、攻撃性はありませんでした。
リクエスト内容:
GET / HTTP/1.1
該当IP
※割合は81ポート宛てのみの割合
IP | 検知数 | 割合 |
58[.]39[.]124[.]19 | 3,629 | 63.67% |
150[.]249[.]168[.]234 | 1,304 | 22.88% |
以上、簡易分析となります。