Hlavní navigace

Honeypot sdružení CZ.NIC zaznamenal nejvíce útoků z Tchajwanu

Redakce

CZ.NIC publikoval analýzu dat ze serverů detekujících pokusy o neoprávněná připojení a útoky. Nejvíce jich v poslední době přichází z Tchajwanu, Arménie, Ruska a Brazílie.

Jednou z aktivit správce české národní domény sdružení CZ.NIC je provozování serverů detekujících pokusy o neoprávněná připojení a útoky. Obecně se takový server označuje jako honeypot (tedy sklenice medu) – pro útočníky se může zdát lákavý, ale poskytované služby jsou pouze simulované a informace o útočníkovi se zaznamenávají.

Nejedná o cílené útoky, ale spíše o výsledky práce programů (čtěte virů), které systematicky prochází prostor IP adres a zkouší, kde budou mít štěstí. Smysl provozování honeypotů je v analýze trendů a monitorování bezpečnosti internetu.

CZ.NIC dnes publikoval analýzu dat, která tímto způsobem získal od listopadu do ledna.

Nejvíce se útočníci připojovali na port 445 (SMB protokol), řádově méně pokusů bylo dále na porty 80 (HTTP), 5060 (SIP), 3306 (databáze MySQL) a 1433 (Microsoft SQL Server). Nejčastěji nahrávaným malwarem byly různé varianty Confickeru.

Podobně jako v předchozím období se na statistikách podepsal autonomní systém AS3462 z Tchaj-wanu s počtem 372 unikátních IP adres.

EBF17_Cupr

Nejčastější útočníci (listopad 2012 – leden 2013).
Autor: CZ.NIC

Nejčastější útočníci (listopad 2012 – leden 2013).

Počítače z tohoto rozsahu šířily 100 různých variant malware, z toho dvě se dostaly do TOP 10 za poslední sledované období (viz první a druhý malware na VirusTotal); jedna z těchto dvou byla šířena z jediné IP adresy. Tento AS sám o sobě zajistil Tchaj-wanu první příčku ve srovnání s ostatními státy světa, uvedl  Jiří Machálek z CZ.NICu.

Země, ze kterých přicházelo nejvíce útoků na honeypot CZ.NICu.

Země, ze kterých přicházelo nejvíce útoků na honeypot CZ.NICu.

Zdroj: blog CZ.NIC

Našli jste v článku chybu?