Vlákno názorů k článku CZ.NIC spouští HaaS: honeypot as a service od Jouda u Lopaty - Koukám na screenshot vidím, že tam je několik...
-
Koukám na screenshot vidím, že tam je několik sezení od stejné IP adresy akorát se to liší o pár milisekund. Neplánujete sessiony sjednocovat? Musí být strašná otrava, když těch stránek v HaaS bude několik a zjištovat, co ten bot zkoušel provádět…
Ve článku mluvíte o analyzování dat. Budete nás informovat na co přišel např. CSIRT.cz z těch dat, které sbíráte?
Zatím je to pouze pro SSH? Neuvažujete třeba o rozšíření o telnet? Není mi zřejmé, zda musím mít veřejnou IPv4 adresu. Víte o útocích na SSH na IPv6? Proč ve statistikách není např. nějaká zajímavost?
Např. bot X použil 150x příkaz rm -rf nebo bot Y se pokusil přihlásit na 150 zařízení, které se zapojili do HaaS nebo by mě zajímalo TOP5 nejpoužívanějších hesel, které boti používaj… -
Útoky jsou zatím vedené na IPv4, útočníci na IPv6 většinou dlabou. Ale samozřejmě podmínka není mít jedno nebo druhé, rozhodně bez veřejné IP adresy mít nainstalovanou proxy nemá smysl.
Analýza je myšlena především tím, odkud útoky jdou a hlášení o problému majitelům. To je náš primární cíl a do toho věnujeme naši energii. Pokud by vás zajímaly nejčastější příkazy apod., můžete si stáhnout kompletní data a zgrupovat dle toho, co vás nejvíc zajímá. :-)
ČLÁNKY DO MAILU