Estadistika sulod sa 24 ka oras human sa pagbutang ug honeypot sa Digital Ocean node sa Singapore
Pew Pew! Magsugod ta dayon sa mapa sa pag-atake
Ang among super cool nga mapa nagpakita sa talagsaon nga mga ASN nga konektado sa among Cowrie honeypot sulod sa 24 oras. Ang yellow katumbas sa mga koneksyon sa SSH, ug pula ang katumbas sa Telnet. Ang ingon nga mga animation kanunay nga nakadayeg sa board of directors sa kompanya, nga makatabang sa pagsiguro sa dugang nga pondo alang sa seguridad ug mga kapanguhaan. Bisan pa, ang mapa adunay gamay nga kantidad, klaro nga nagpakita sa geographic ug organisasyonal nga pagkaylap sa mga gigikanan sa pag-atake sa among host sa 24 oras lang. Ang animation wala magpakita sa gidaghanon sa trapiko gikan sa matag tinubdan.
Unsa ang mapa sa Pew Pew?
Mapa sa Pew Pew Mao ba
Gihimo gamit ang Leafletjs
Alang niadtong gusto nga magdesinyo og mapa sa pag-atake alang sa dako nga screen sa operations center (gusto kini sa imong boss), adunay librarya.
WTF: unsa man ning Cowrie honeypot?
Ang Honeypot usa ka sistema nga gibutang sa network ilabi na sa pagdani sa mga tig-atake. Ang mga koneksyon sa sistema kasagarang ilegal ug gitugotan ka nga makit-an ang tig-atake gamit ang detalyado nga mga troso. Ang mga troso nagtipig dili lamang sa regular nga impormasyon sa koneksyon, kondili usab sa impormasyon sa sesyon nga nagpadayag Mga teknik, taktika ug pamaagi (TTP) manghilabot.
Ang akong mensahe sa mga kompanya nga naghunahuna nga dili sila atakehon: "Nagtan-aw ka pag-ayo."
β James Snook
Unsa ang naa sa mga troso?
Total nga gidaghanon sa mga koneksyon
Adunay gibalikbalik nga pagsulay sa koneksyon gikan sa daghang mga host. Normal kini, tungod kay ang mga script sa pag-atake adunay usa ka kompleto nga lista sa mga kredensyal ug pagsulay sa daghang mga kombinasyon. Ang Cowrie Honeypot gi-configure aron dawaton ang piho nga mga kombinasyon sa username ug password. Gi-configure kini sa user.db file.
Heyograpiya sa mga pag-atake
Gamit ang Maxmind geolocation data, giihap nako ang gidaghanon sa mga koneksyon gikan sa matag nasud. Ang Brazil ug China nanguna sa usa ka halapad nga margin, ug kanunay adunay daghang kasaba gikan sa mga scanner nga gikan sa kini nga mga nasud.
Tag-iya sa network block
Ang pagpanukiduki sa mga tag-iya sa network blocks (ASN) mahimong makaila sa mga organisasyon nga adunay daghang mga nag-atake nga mga host. Siyempre, sa ingon nga mga kaso kinahanglan nimong hinumdoman kanunay nga daghang mga pag-atake gikan sa mga nataptan nga host. Makatarunganon nga hunahunaon nga kadaghanan sa mga tig-atake dili igo nga hungog aron ma-scan ang Network gikan sa usa ka kompyuter sa balay.
Ablihi ang mga pantalan sa mga sistema sa pag-atake (data gikan sa Shodan.io)
Pagpadagan sa listahan sa IP pinaagi sa maayo kaayo
Ang usa ka makapaikag nga pagpangita mao ang daghang mga sistema sa Brazil nga adunay dili bukas 22, 23 o ubang mga pantalan, sumala sa Censys ug Shodan. Dayag nga kini mga koneksyon gikan sa mga kompyuter sa end user.
Mga bot? Dili kinahanglan
data
Apan dinhi imong makita nga gamay ra nga gidaghanon sa mga host nga nag-scan sa telnet adunay port 23 nga bukas sa gawas. Kini nagpasabut nga ang mga sistema mahimoβg makompromiso sa lain nga paagi, o ang mga tig-atake nagdagan sa mga script nga mano-mano.
Mga koneksyon sa balay
Ang laing makapaikag nga pagpangita mao ang daghang gidaghanon sa mga tiggamit sa balay sa sample. Pinaagi sa paggamit balik nga pagpangita Giila nako ang 105 ka koneksyon gikan sa piho nga mga kompyuter sa balay. Alang sa daghang mga koneksyon sa balay, ang usa ka reverse DNS lookup nagpakita sa hostname nga adunay mga pulong nga dsl, balay, cable, fiber, ug uban pa.
Pagkat-on ug Pag-usisa: Ipataas ang Imong Kaugalingong Honeypot
Bag-ohay lang nagsulat ako usa ka mubo nga panudlo kung giunsa
Imbis nga ipadagan ang Cowrie sa internet ug makuha ang tanan nga kasaba, makabenepisyo ka gikan sa honeypot sa imong lokal nga network. Kanunay nga magbutang usa ka pahibalo kung ang mga hangyo ipadala sa pipila nga mga pantalan. Kini usa ka tig-atake sa sulod sa network, o usa ka kuryuso nga empleyado, o usa ka pag-scan sa pagkahuyang.
kaplag
Human sa pagtan-aw sa mga aksyon sa mga tig-atake sulod sa XNUMX-oras nga yugto, kini nahimong tin-aw nga imposible sa pag-ila sa usa ka tin-aw nga tinubdan sa mga pag-atake sa bisan unsa nga organisasyon, nasud, o bisan operating system.
Ang halapad nga pag-apod-apod sa mga tinubdan nagpakita nga ang kasaba sa pag-scan kanunay ug wala'y kalabutan sa usa ka piho nga gigikanan. Bisan kinsa nga nagtrabaho sa Internet kinahanglan nga masiguro nga ang ilang sistema daghang lebel sa seguridad. Usa ka komon ug epektibo nga solusyon alang sa SSH ang serbisyo mobalhin sa usa ka random nga taas nga pantalan. Dili kini magwagtang sa panginahanglan alang sa estrikto nga pagpanalipod sa password ug pag-monitor, apan labing menos nagsiguro nga ang mga troso dili mabara pinaagi sa kanunay nga pag-scan. Ang taas nga mga koneksyon sa pantalan mas lagmit nga gipunting nga mga pag-atake, nga mahimoβg makapainteres kanimo.
Kasagaran ang mga bukas nga telnet port naa sa mga router o uban pang mga aparato, aron dili kini dali mabalhin sa taas nga pantalan.
Source: www.habr.com