Кто сканирует Интернет? Атака ботов

Всем привет!

Прежде всего, хочу поблагодарить всех, кто участвовал в обсуждении моей первой статьи: «Кто сканирует Интернет и существует ли Австралия».

Публиковал статью без всякого умысла, просто поднял тему, которая так или иначе касается всех. Не только тех кто связан с ИТ, но и любого, чей сервер или ПК сидит на «реальных»(«белых») адресах Интернет.

Как я и предполагал, после публикации статьи, резко вырос «интерес» к IP-адресу на котором висит сборщик статистики. Многие, ради шутки, вставляли в URL сообщения, различные наборы символов и т.д. Так обнаружилось, что существуют и Австралия и Новая Зеландия. Да и много кто еще.

Однако, целью основного скан-трафика 1 и 2-го мая был таргет: /var/www/html/favicon.ico.
Кто-то решил показать себя во всей красе и ему это удалось.
Если после публикации первой статьи я собирался завершить отлов сканеров на том адресе, где он сейчас, то увидев статистику решил повременить с переездом. Более того, в силу собственной лени немного доработал интерфейс чтобы не копать файлы руками.
Привожу скриншоты статистики сканирования за 1 и 2- мая 2018 года:

1 мая:

image

2 мая:

image

По количеству IP-адресов, с которых производилось сканирование 1 и 2-го мая соответственно 388 и 390. С некоторых адресов таргет /var/www/html/favicon.ico сканировался единожды, с других по нескольку раз. Сканирование указанного таргета продолжается до сих пор. В этом можно убедиться непосредственно на ресурсе. Конечно интенсивность сильно упала 3-го мая (до около 100 адресов) и постепенно снижается. Конечно, в статистику попадают и старые добрые сканеры, не имеющие отношения к описываемым событиям, но их мало — примерно десятая часть. До 1 мая, даты публикации первой статьи в день отмечалось 10–15 уникальных адресов сканеров.

Результаты анализа статистики «атаки» показали, что с большой вероятностью все адреса, с которых сканировался выше упомянутый таргет несут на себе, или являются прокси для ботов, управляемых «одной кнопкой». Предполагаю, что ботам было выдано простое задание — стукнуться на таргет. Но каков масштаб!… При необходимости эта «армия» может организовать и настоящую атаку на какой-либо ресурс. Только дай задание.

Опечалило прежде всего то, что просмотр некоторых адресов источников сканирования nmap-ом, показал кучу открытых портов, а при коннекте по HTTP обнаружилось, что там висят различные сервера — игровые, почтовые и т.д.

То есть конкретные люди, кто занимается сопровождением этих серверов (а некоторые в работе), либо не подозревают что носят бот либо носят его намеренно.

В заключении хочу сказать, что наверное проявившаяся «армия ботов» не самая большая из возможных. Вероятно, это только небольшая ее часть. Но статистика показала, что атака ботов это реальность, и от этого необходимо защищаться.

Может «белые» IP-адреса пора выдавать после успешной сдачи экзаменов по ИТ безопасности, и под личную роспись? А то имеем бардак-с.

Список источников: статистика сканирования.

© Habrahabr.ru