【100万アクセス記念+JP-CERTの結果比較】ハニーポットメモリー【4】【6/11-7/21】
皆さんこんにちは.
今回記事を更新しようとした目的は,3つあります.
一つ目は,JP-CERTが定点観測レポートを公表したので,自分の定点観測の結果と比較したいなと思ったからです.そのために,自分の結果をまとめてみました.本記事の結果は数少ない読者の方*2の参考に役立てば幸いです.
二つ目は,全然更新していなかったので,更新したいと思ったからです.
このまま更新しなかったら,もう二度と更新されないかもしれなかったので...
三つめは,私のハニーポットへのアクセス総数が100万アクセスを達成しました!!
やったね!それをお祝いして記事を更新します.
それでは,JP-CERTの定点観測の結果と比較していきます.
※なお,始めてから四半期もたっていないので,今までの総合の結果と比較します.
宛先ポート番号トップ5
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 22 (SSH) | - |
2 | 443 (HTTPS) | - |
3 | 80 (HTTP) | - |
4 | 43594 (RuneScape, FunOrb, Runescape Private Servers game servers?) | - |
5 | 5060 (SIP?) | - |
1位は,圧倒的にSSHでした.これは今までの記事でもCowrieがアクセス数トップということをお伝えしていたので,違和感はないと思います.2位,3位はWeb通信でした.
そして,4位,5位は全然well knownではないサービス.Wikipediaで調べましたが,しっくりこないサービスでした.いったいなんで一般のサービスよりもアクセス数が多いのでしょうか?私の予想ではTelnetやSMB,RDPが多いと思ってました...
このあたり,何か情報を持っている人がいたら教えてください.
送信元地域トップ5
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | Ireland | - |
2 | Russia | - |
3 | France | - |
4 | Netherlands | - |
5 | Czechia | - |
一位はIrelandでヨーロッパの国でした.結構意外な結果です.2位はサイバーセキュリティ大国のロシアで,納得の結果です.3位はフランス,4位はオランダ,5位は英名からは判別が難しいですが,チェコでした.
こう見ると,私のところへはヨーロッパ周辺の国からのアクセスが非常に多いです.
中国は意外と低い...
注目された現象
えーそんなに時間をかけて分析したわけではないので,注目された現象とか気の利いたことは書けないのですが,一つだけ.
ほとんどのアクセスはCowrieへのSSHを狙ったアクセスなので,Cowrieのアクセス統計を見てみると,アクセスが定常的にあるわけではなく,ある時間帯にドバッとアクセスがあることが分かります.時間帯は日本時間で7:00と19:00です.
Cowrieのアクセス元は半分がIrelandになっています.そして,Irelandと日本の時差は8時間です.つまり,向こうの時間帯で23:00と11:00に何か動きがあるということです.
Irelandのことは全然知らないのですが,いったい何があるんでしょうか.
うーん,謎は深まるばかりですが,興味深い注目された現象です.今後謎を解明していきます.
まとめ
- JP-CERTの真似をして定点観測の結果を作成してみた
- JP-CERTの結果*3とだいぶ違う結果になったので,その理由や観測の違いなどを明らかにしていきたい
- 分析に時間をかけたい!いっそこういうことを仕事にしようかなぁ...
- ハニーポットの運用は大変!だけどやっぱり楽しい!!
また来週くらいに会いましょう