Dionaea蜜罐捕获结果总体分析
我们以分别部署在CERNET骨干网和清华校园网(校外地址无法访问)的两个Dionaea蜜罐节点为例,来进行数据分析。这两个节点从5月上旬至7月上旬的两个月中分别捕获98523次和121次网络攻击连接。
表1 Dionaea蜜罐捕获网络攻击连接的协议分布统计
骨干网dionaea节点捕获统计 | 校园网dionaea节点捕获统计 | ||||||
排名 | 连接协议 | 本地端口 | 连接数量 | 排名 | 连接协议 | 本地端口 | 连接数量 |
1 | mssqld | 1433 | 75437 | 1 | smbd | 445 | 52 |
2 | pcap | N/A | 19030 | 2 | pcap | x | 26 |
3 | httpd | 80 | 1779 | 3 | httpd | 80 | 22 |
4 | epmapper | 135 | 1553 | 4 | mssqld | 1433 | 10 |
5 | smbd | 445 | 352 | 5 | epmapper | 135 | 10 |
6 | SipSession | UDP5060 | 207 | 6 | ftpd | 21 | 1 |
7 | ftpd | 21 | 120 | —— | |||
8 | ftpdatalisten | N/A | 39 | ||||
9 | Emulation | N/A | 2 | ||||
10 | Remoteshell | N/A | 2 | ||||
Total | N/A | 98523 | Total | N/A | 121 |
如表1所示,其中emulation类型和remoteshell类型为Dionaea对shellcode的模拟,分别是shell_bind_tcp(开启监听服务)和shell_reverse_tcp(反向连接服务),pcap类型是攻击者对Dionaea没有模拟的服务的连接。
校园网内节点没有开启对校外IP地址的访问许可,部署目的是发现由校园网内部所发起的攻击威胁。而骨干网节点则没有任何访问限制,可以发现针对教育网典型服务器环境的安全威胁。由于两者处于不同环境,捕获的攻击行为也具有不同特点。排除攻击次数的巨大差距,校园网内针对smb协议的攻击行为比例远远高于校外网络,这正是子网环境和面向整个网络的环境之间的区别。子网内部的攻击行为,除了1次针对80端口的HTTP扫描探测,1次针对1433端口的MSSQL口令猜测攻击,及1次ftp匿名用户登录之外,绝大多数是蠕虫的自动扩散造成的,经统计,针对smb协议的攻击中有32次攻击是针对MS08-067漏洞。
骨干网Dionaea蜜罐节点捕获数据分析
表2 骨干网Dionaea蜜罐节点捕获数据分析
排名 | 连接协议 | 本地端口 | 连接数量 | 排名 | 连接协议 | 本地端口 | 连接数量 |
1 | mssqld | 1433 | 75437 | 11 | smb | 445 | 352 |
2 | smb | 139 | 3830 | 12 | proxy | 8000 | 242 |
3 | proxy | 1080 | 2144 | 13 | ??? | 7092 | 238 |
4 | rdp | 3389 | 1827 | 14 | Sip | UDP5060 | 207 |
5 | mysql | 3306 | 1807 | 15 | proxy | 808 | 189 |
6 | httpd | 80 | 1779 | 16 | proxy | 27977 | 173 |
7 | epmapper/rpc | 135 | 1553 | 17 | pop3 | 110 | 164 |
8 | proxy | 9415 | 1172 | 18 | Smtp | 25 | 155 |
9 | proxy | 8080 | 1156 | 19 | Radmin | 4899 | 148 |
10 | proxy | 3128 | 863 | 20 | proxy | 8088 | 147 |
others | N/A | 4940 | Total | 98523 |
表2显示的是骨干网Dionaea节点捕获攻击协议的前20位排行,没有提供模拟服务的端口用已知协议做了标识。攻击类型大体可分为四类:(1)密码暴破攻击;(2)代理服务器扫描;(3)服务端渗透攻击;(4)端口扫描(或后门扫描)。
通过统计bistreams/目录下连接二进制数据流,针对mssql服务的密码暴破攻击数为74499次,占所有攻击数的75.62%,其中6月10日,来自北京市铁通ADSL的某IP,从16:28到17:17对蜜罐mssql服务发起了暴破攻击,尝试次数65107次。而针对3389端口的远程桌面连接和4899端口的远程管理服务的攻击,由于没有模拟服务支持,无法判断攻击类型,但同时存在密码暴破攻击和端口扫描(或后门扫描)的可能。
攻击数第二多的类型是代理服务器扫描,对存在已知代理服务的端口1080、9415、8080、3128、8000、808、27977和8088的攻击,可以判断其目的是寻找代理服务器。针对这些常见代理端口的扫描探测,在教育网中非常常见,这与教育网访问国际网受限相关,可能大量此类扫描探测均为寻找免费可用的代理服务器,我们计划进一步部署openproxy蜜罐来尝试对此种威胁进行进一步调查分析。
服务端渗透攻击主要还是针对微软系统本身开放的smb和RPC服务,我们将在下一小节中进行具体介绍。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。