DShield蜜罐日志量激增
蜜罐日志量随时间变化。蜜罐日志很少安静,意味着总有互联网扫描或恶意活动生成日志。蜜罐可能遇到活动大幅增加[1],但这往往是例外而非规则。然而,在过去几个月里,蜜罐日志量出现了急剧增长,且高日志量出现的频率更高。这不仅来自我的住宅蜜罐(历史上日志量较高),还来自我运行并频繁归档日志的所有蜜罐。
图1:过去13-14个月多个蜜罐的日志量。近期活动淹没了早期流量,使其看似不存在。
为了证明其他日志确实存在,过滤掉了高量贡献者。任何在一天内贡献超过1,000,000条日志的源网络(/24大小)都被移除。
图2:过滤掉一天内贡献超过1,000,000条日志的源后,随时间变化的日志量。
日志量的来源是Web蜜罐日志。
图3:Web蜜罐日志量是这些异常值的主要贡献者。
当排除大容量贡献者时,可以看到年初更多的活动。尽管这让我们能看到2025年4月之前的数据,但过去几个月仍有明显增长。
图4:过去13-14个月的Web蜜罐日志,排除了在单日内贡献超过1,000,000条日志的源。
由于近期日志量较高,先前的高量时期也难以轻易看到。
图5:与近期Web蜜罐日志相比,先前被认为是高流量异常的日子几乎无法察觉。
在过去几个月里,看到Web蜜罐文件一天活动超过1 GB并不罕见。最近几周,多个蜜罐在一天甚至多天内生成超过20 GB的日志。有一天,一个蜜罐生成了近58 GB的Web蜜罐日志,打破了先前约35 GB的“记录”。
图6:量在增加,且发生更频繁,本地存储的Web蜜罐日志平均大小显著上升。
那么这些日志来自哪里,它们在寻找什么?由于许多源IP地址来自重叠子网,数据按子网汇总。数据突出显示,一些子网专注于少量唯一URL路径。
图7:子网访问的常见URL,以及每个子网的整体活动和最活跃IP地址。
| 子网 | Web蜜罐命中数 | 唯一IP数 | 唯一URL路径数 | 顶部IP | 顶部URL路径 |
|---|---|---|---|---|---|
| 45.146.130.0/24 | 20078392935 | 6 | 55 | 45.146.130.107 | / |
| 179.60.146.0/24 | 15730010424 | 2 | 2 | 179.60.146.100 | /api/v1/config/domains [2] |
| …(更多数据行)… |
图8:活跃子网中最常见的5个URL路径。
| URL路径 | 总命中数 |
|---|---|
| / | 38,052,002,400 |
| /api/v1/config/domains [3] | 33,198,670,474 |
| /api/v1/logon | 1,635,235,500 |
| api.ipapi.is:443 | 8,270,636 |
| myip.wtf:443 | 7,914,843 |
还有更多数据需要研究,但对于任何托管蜜罐并保留额外日志的人来说,此活动可能需要额外操作。对我来说,我正在努力更频繁地归档更多本地日志以节省空间。这可能意味着对Web蜜罐日志进行高压缩压缩,可能一天两次。可能需要考虑多天内每天超过20 GB的日志。如果日志备份和清理每周进行一次,这可能意味着在备份之间存储140 GB的仅Web蜜罐日志。
[1] https://isc.sans.edu/diary/Overflowing+Web+Honeypot+Logs/30416
[2] https://isc.sans.edu/diary/Web+Scanning+SonicWall+for+CVE202120016+Update/31952/
[3] https://isc.sans.edu/diary/31906
–
Jesse La Grew
Handler
关键词:
0条评论