ASN 43350的大规模互联网扫描【客座日记】

【本文由SANS.edu BACS项目实习生Duncan Woosley撰写的客座日记】

在过去的三个月中，我的DShield传感器在AWS部署中持续在线并收集数据。本周我对这三个月的统计数据进行分析时，发现了一个令人惊讶的结果：在所有扫描和攻击该传感器的来源地中，巴拿马以超过总流量65%的占比成为最大流量来源地。

各地区DShield传感器流量分布

前十大来源地基本符合常见预期，但巴拿马的流量甚至超过了其他所有地区流量的总和！

通过按天筛选流量数据，我发现异常集中在最近三个月内的少数几天，这些流量峰值占据了传感器捕获总量的绝大部分。

4月7日至7月7日单日流量峰值

每个峰值均由单日单个IP引发，但引发峰值的IP每日不同。值得注意的是，十大最活跃IP中有六个来自同一个/24子网（141.98.80.0/24），该子网占传感器总日志量的59.4%。此外，前十IP中有九个来自同一家ISP——“NForce Entertainment B.V."。

自治系统编号ASN 43350占传感器总日志量的71.6%！该ASN属于NForce Entertainment，但该公司常将其IP空间出租给其他VPN和代理服务商（如巴拿马的Flyservers S.A.）。根据Scamalytics分类，Flyservers属于"潜在极高欺诈风险ISP”，很可能是本次活动的源头。

按总流量排序的顶级ASN

进一步调查发现，NForce Entertainment的IP活动常与网络钓鱼、恶意软件和扫描行为相关。作为荷兰ISP，其运营缺乏严格监管，且所在国未对威胁行为者使用其服务施加撤销压力。

防御建议 直接封禁所有NForce Entertainment流量并非最佳方案。若业务无需该流量可考虑封锁，但多数组织不宜大规模IP封禁。建议采取以下措施：

• 标记来自NForce Entertainment（特别是ASN 43350）的流量
• 禁止从互联网直接访问远程桌面协议（RDP）
• 监控ASN 43350的SSH活动并配置密钥认证
• 为所有Web应用部署WAF并监控可疑查询
• 设置WAF单源高流量警报阈值

参考文献：
[1] ARIN ASN指南
[2] Scamalytics欺诈风险评估
[3] OWASP WAF标准
[4] SANS网络安全学士项目

Guy Bruneau IPSS Inc.
GitHub主页 | Twitter: @GuyBruneau
gbruneau@isc.sans.edu

关键词：威胁狩猎 BACS SecOps NForce娱乐 ASN43350 扫描