ハニーポットのログ その1

セキュリティ ハニーポット

 CCCデータセットを昔解析したものが出てきたので、載せておきます。下のデータ採取に用いたハニーポットの設定は確か以下の通りです。こうしたハニーポットのログの可視化されたものは珍しいかもしれません。

  • ハニーポットISPの管理下に設置
  • OSは仮想環境上のWindowsXPで、おそらくSP1
  • ウィルスソフトやFW等は設定はしていない
  • 計測時期は2008年4月28日の24時間
  • XPは一定時間経過後自動的に初期化される
  • XPは外部に対して自分からメール、ブラウザ等の自律的な通信は一切行わない
  • 図の縦軸はIPアドレスをドット付きの10進数で表示
  • 横軸は時刻、0時から24時まで

パケットの総数

種別 個数
TCPのインバウンド 2320パケット
TCPのアウトバウンド 62000305パケット

ハニーポットに対してのパケットよりも、ハニーポットからのパケットのほうが圧倒的に多いのは、ポートスキャンが多いからと思われる。

TCPハニーポットに対するインバウンドの通信の可視化

ハニーポットへのパケットからTCPのSYNフラグのパケットのみを抜粋して可視化した。図中の点一つがSYNパケットに対応している。

  • ハニーポットが自律的に外部に対して通信は行わないため、各赤い点はマルウェアの感染等の攻撃や、ポートスキャンであると考えられる。
  • そうした攻撃は、特定のIPアドレス帯からに集中していることが分かる。マルウェアに汚染された「危険な」IPアドレス帯と、汚染されていない「きれいな」アドレス帯に分かれている。

TCPハニーポットに対するアウトバウンドの通信可視化

ハニーポットからのパケットからTCPのSYNフラグのパケットのみを抜粋して可視化した。図中の点一つがSYNパケットに対応している。

ハニーポットが自律的に外部に対して通信は行わないため、各赤い点はマルウェアに感染した後のXPからの感染活動と考えられる。