Хабрахабр

Кто сканирует Интернет? Атака ботов

Всем привет! Прежде всего, хочу поблагодарить всех, кто участвовал в обсуждении моей первой статьи: «Кто сканирует Интернет и существует ли Австралия».

Не только тех кто связан с ИТ, но и любого, чей сервер или ПК сидит на «реальных»(«белых») адресах Интернет. Публиковал статью без всякого умысла, просто поднял тему, которая так или иначе касается всех.

Многие, ради шутки, вставляли в URL сообщения, различные наборы символов и т.д. Как я и предполагал, после публикации статьи, резко вырос «интерес» к IP-адресу на котором висит сборщик статистики. Да и много кто еще. Так обнаружилось, что существуют и Австралия и Новая Зеландия.

Более того, в силу собственной лени немного доработал интерфейс чтобы не копать файлы руками. Однако, целью основного скан-трафика 1 и 2-го мая был таргет: /var/www/html/favicon.ico.
Кто-то решил показать себя во всей красе и ему это удалось.
Если после публикации первой статьи я собирался завершить отлов сканеров на том адресе, где он сейчас, то увидев статистику решил повременить с переездом. Привожу скриншоты статистики сканирования за 1 и 2- мая 2018 года:

1 мая:

image

2 мая:

image

gif:

image

С некоторых адресов таргет /var/www/html/favicon.ico сканировался единожды, с других по нескольку раз. По количеству IP-адресов, с которых производилось сканирование 1 и 2-го мая соответственно 385 и 387. В этом можно убедиться непосредственно на ресурсе. Сканирование указанного таргета продолжается до сих пор. Конечно, в статистику попадают и старые добрые сканеры, не имеющие отношения к описываемым событиям, но их мало — примерно десятая часть. Активность ботов резко упала 3-го мая(до около 100 адресов) и постепенно снижается. До 1 мая, даты публикации первой статьи в день отмечалось 10-15 уникальных адресов сканеров.

Предполагаю, что ботам было выдано простое задание — стукнуться на таргет. Результаты анализа статистики «атаки» показали, что с большой вероятностью все адреса, с которых сканировался выше упомянутый таргет несут на себе, или являются прокси для ботов, управляемых «одной кнопкой». При необходимости эта «армия» может организовать и настоящую атаку на какой-либо ресурс. Но каков масштаб!.. Только дай задание.

Немного Ближнего Востока. География этой бот-сети: Европа, бывший СССР, Северная Америка. Внимание. Даже пара сканеров с Австралийским и один с НЗ адресом.
Но! Тоесть ВООБЩЕ ни одного. Ни одного сканера из КНР.

Опечалило прежде всего то, что просмотр некоторых адресов источников сканирования nmap-ом, показал кучу открытых портов, а при коннекте по HTTP обнаружилось, что там висят различные сервера — игровые, почтовые и т.д.

То есть конкретные люди, кто занимается сопровождением этих серверов (а некоторые в работе), либо не подозревают что носят бот либо носят его намеренно.

Вероятно, это только небольшая ее часть. В заключении хочу сказать, что наверное проявившаяся «армия ботов» не самая большая из возможных. Но статистика показала, что атака ботов это реальность, и от этого необходимо защищаться.

А то имеем бардак-с. Может «белые» IP-адреса пора выдавать после успешной сдачи экзаменов по ИТ безопасности, и под личную роспись?

Список источников: статистика сканирования.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть