REPORTE HONEYPOT 2009
Introduccción
El Centro de Respuesta a Incidentes Informáticos y de Telecomunicaciones de ANTEL (CSIRT ANTEL) viene trabajando desde el año 2007 en la operación de un honeypot de baja interacción para recoger información sobre posibles ataques y amenazas a la infraestructura de los miembros de su comunidad objetivo.
En el año 2009 los registros que genera dicho sistema se comenzaron a guardar en bases de datos relacionales lo que simplifico enormemente el proceso de análisis de los datos y además permitió generar con relativa facilidad todo tipo de reportes y estadísticas.
Algunas de las estadisticas mas relevantes o llamativas se muestran a continuación, con un breve comentario explicativo para cada una de ellas. Todos los datos corresponden al analisis del año 2009.
Herramientas
- Base de datos - MySQL
- Generación gráficas - GNUplot
- Gráficas ejes paralelo - Parvis
- Edición imágenes - Phatch, Imagemagick
Comentarios/Suguerencias/Criticas: honeypot@csirt-antel.com.uy
|
|
Líneas de logs por día en todo el año 2009 (el claro aumento en Diciembre se debe a que se duplico el número de direcciones IP configurada en los honeypots del CSIRT-ANTEL. |
|
| 640x480 - 1024x768 | ||
 |
Idem anterior pero en escala logarítmica para mostrar mejor los máximos y mínimos por día. | |
| 640x480 - 1024x768 | ||
 |
Acumulado mes a mes del número de líneas de log (se ve claramente el aumento de números IP en diciembre) | |
| 640x480 - 1024x768 | ||
 |
No todas las líneas de logs corresponden a conexiones que se inician hacia un honeypot (por ejemplo una nueva conexion TCP se regstra en 2 o 3 lineas de log) . Este gráfico muestra el número efectivo de conexiones nuevas a los honeypots por día | |
| 640x480 - 1024x768 | ||
 |
Idem anterior pero en escala logarítmica. | |
| 640x480 - 1024x768 | ||
 |
Acumulado mes a mes del número de coenxiones nuevas hacia los honeypots (aqui también se ve claramente el efecto del aumento del número de direcciones IP en diciembre) | |
| 640x480 - 1024x768 | ||
 |
Esas conexiones nuevas ¿ a cuantas direcciones IP de origen distintas corresponden? Este gráfico muestra cuantas direcciones IP distintas se conectaron al honeypot del CSIRT-ANTEL acumulado por mes. (Observar Diciembre 2009...no aumentaron el número de IPs distintas) | |
| 640x480 - 1024x768 | ||
 |
Si sumamos las columnas anteriores da mucho mas que el total de direcciones IP distintas durante el año 2009 (Total: 121462). La cuestion es que mes a mes hay direcciones IP que se repiten de meses anteriores. Este grafico efectivamente cuantifica cuantas direcciones IP nuevas aparecen mes a mes. | |
| 640x480 - 1024x768 | ||
 |
Detalle del número de direcciones IP nuevas que efectivamente se conectan al honeypot mes a mes. | |
| 640x480 - 1024x768 | ||
 |
Direcciones IP de mas de 170 paises se intentaron conectar al honeypot (si esta la bandera es que aparecio en el honeypot) | |
| 640x480 - 1024x768 | ||
 |
China lidera con luz el ranking de paises que se conectan al honeypot. Segundo Estados Unidos y tercero Uruguay. | |
| 640x480 - 1024x768 | ||
 |
Como era de esperar la mayoria de las conexiones son TCP. | |
| 640x480 - 1024x768 | ||
 |
Cantidad de puertos TCP destno distintos (no son tantos si tenemos en cuenta que el máximo posible es de 65535) | |
| 640x480 - 1024x768 | ||
 |
Cantidad de puertos TCP origen distintos (era esperable y se confirma que esuviera mas cerca de 65535) | |
| 640x480 - 1024x768 | ||
 |
Gráfica de ejes paralelos mostrando relación entre puertos TCP origen (eje izquierda) y puertos TCP destino (eje derecha). A modo de ejemplo y por claridad, se muestra solo Setiembre de 2009. Era esperable la gran densidad de conexiones hacia la zona de puertos bien conocidos. Es interesante ese "ruido de fondo" con origen en puertos bajos y destino en puertos altos. |
|
| 640x480 - 1024x768 | ||
 |
Este gráfico muestra la cantidad de conexiones a cada IP que compone el honeypot durante el año (observar que las últimas 16 IPs fueron las agregadas en Diciembre) | |
| 640x480 - 1024x768 | ||
