ハニーポット運用(月次報告:2020年1月)
T-Potにて1か月運用した結果を記載する。
前提条件
運用日時:2020年1月2日-2020年2月2日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 |
---|---|---|
1 | Dionaea | 10,008,452 |
2 | Cowrie | 3,027,782 |
3 | Heralding | 547,624 |
4 | Honeytrap | 239,213 |
5 | Mailoney | 35,704 |
6 | Rdpy | 21,454 |
7 | Glutton | 12,842 |
8 | Honeypy | 11,832 |
9 | Tanner | 7618 |
10 | Adbhoney | 5186 |
11 | Ciscoasa | 1946 |
12 | ConPott | 173 |
13 | CitrixHoneypot | 151 |
14 | ElasticPot | 39 |
15 | Medpot | 21 |
- Result
- DionaeaとCowrieへの攻撃が大半を占めている。
- 2月途中に試験的にInstallタイプをNetGenに設定したため「CitrixHoneypot」「Glutton」などのログが追加された。
(CitrixHoneypotはmasscanの検出以外は
/vpn/../vpns/cfg/smb.conf
へのアクセスなどの目ぼしい攻撃は検知できず...)
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 |
---|---|---|
1 | Russia | 1,463,519 |
2 | Vietnam | 1,445,528 |
3 | India | 1,028,595 |
4 | Ireland | 916,642 |
5 | Taiwan | 732,393 |
6 | Indonesia | 599,239 |
7 | Brazil | 422,425 |
8 | Thailand | 418,934 |
9 | China | 403,683 |
10 | Republic of Korea | 365,433 |
11 | Japan | 326,576 |
12 | United States | 270,872 |
13 | Ukraine | 225,944 |
14 | Venezuela | 190,220 |
15 | Hong Kong | 141,003 |
16 | Philippines | 138,710 |
17 | Republic of Moldova | 127,700 |
18 | Italy | 114,456 |
19 | Egypt | 112,761 |
20 | Bangladesh | 102,626 |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 98 |
2 | CVE-2019-0708 CVE-2019-0708 | 40 |
3 | CVE-1999-0016 | 3 |
- Result
https://www.ipa.go.jp/security/vuln/documents/vuln_TCPIP.pdf
最後に
- 2か月分のログ容量がたまってきた結果、やはりメモリ容量が足りなくなった。症状としてはKibanaでコンソールを表示する際にタイムアウトが頻発してまともに表示できない状況になる。
- 色々メンテする中で、
Kibana server is not ready yet
のメッセージが出力されKibanaにアクセスできなくなった。さらに色々調べてメンテを進めたところKibanaのIndexの内消してはいけないものを消したようで、最終的にKibanaのコンソールにアクセス不可になった。復旧に時間がかかりそうなのでT-Potを再インストールした。 - 再インストールに合わせてスケールアップを実施し、メモリ量を4GB→8GBに変更した。環境は快適になったが、毎月のVPS利用料が6400円にアップして家計は火の車です。
- 会社活動で発表した結果、意外と好評だったのでオリンピック期間は頑張って続ける予定。
- 個人的な感想になるが東京オリンピックのセキュリティに関係する仕事をしてみたかった。そして、もう夢は叶いそうにない。しかしそれでも諦めずにオリンピック期間の攻撃を観測して、援護射撃の形で日本のセキュリティを支援するぜ!!