lauantai 16. tammikuuta 2021

Palomuurin vuosiraportti 2020

Olen  usean vuoden ajan seurannut palomuuriin tulevia "koputuksia". Ne eivät ole vakavia kyberhyökkäyksiä tai tietomurtoja, pikemminkin satunnaista testausta, mistä löytyy avoimia laitteita. Koska IP-osoite on kiinteä eikä siitä ole mitään lähtevää liikennettä, vertailu eri vuosien välillä kuvaa nettiliikenteessä tapahtuneita muutoksia. 

Vuoden 2019 seuranta tosin epäonnistui, sillä edeltävään vuoteen verrattuna liikenne kasvoi niin paljon, että loki ehti täyttyä ja vain puolet vuoden koputuksista saatiin talteen. Niistä laskettu vuorokauden keskiarvo oli 4166 koputusta. Harppaus oli melkoinen, sillä 2018 koputuksia oli vuorokaudessa keskimäärin vain 2548. 

Vuonna 2020 koputukset lisääntyivät edelleen 49 prosentilla ja niitä oli 6194 kappaletta vuorokaudessa. 

Palomuurin lokirivit kuukausittain.

Jostain syystä marraskuu nousee muita selvästi aktiivisemmaksi, samoin heinä- ja huhtikuut. 

Palomuuri viikoittain.

Kuukausipiikit näyttävät johtuvan viikkopiikeistä: viikot 18, 27, 45 ja 48 olivat erityisen aktiivisia. Ilmeisesti silloin levisi jokin iot-haittaohjelma, sillä niiden käyttämä Telnet-protokolla johtaa protokollalistaa.

Koputukset protokollaportin mukaan.

Erityisen paljon kokeiluja kohdistui portteihin 23 (Telnet) sekä Windowsin tiedostojakoporttiin 445 (SMB). Myös vanha suosikki 1433 (MS SQL) roikkuu edelleen mukana. Http on pudonnut sijalle neljä ja ssh sijalle kuusi. 

Prosentteina Telnet nyt 5,6 % kaikista (vuosi sitten 8,5 %), SMB 5,2 % (1,9 %), SQL 2,4 % (1,5 %), http 1,2 % (1,5 %) ja ssh 1,1 % (1,1 %).Telnetin osuus on siis laskenut, tiedostojen jaon selvästi noussut. 

Kiinnostavia ovat Ethereumin käyttämä 8545, Memcached-välimuistiohjelman 11211 sekä MikroTik-reitittimiin yhdistetty 8291. MikroTik tuli tunnetuksi NSA:n sille räätälöimän vakoiluohjelman ansiosta. 

Vuoden 2007 tilastossa liikennettä oli yhteensä saman verran kuin nyt yhdestä ainoasta IP-osoitteesta. Los Angelesissa sijaitsevalle DediPath-nimiselle operaattorille kuuluvasta osoitteesta tuli 61 357 yritystä. Seuraavina olivat IP Volume sekä kolumbialainen Network Dedicated SAS. 

Sitten tuli pari venäläistä verkkoa ja Arbor Observatory, jonka IP-osoite 146.88.240.4 on listattu myös Blackhat Directoryssa: https://www.blackhat.directory/ip/146.88.240.4 monenlaisten hyökkäysten lähteenä.

Arbor Observatory ei ole tähtikaukoputki vaan verkon tietoturvapuutteita skannaava yritys ja sen Netscout-palvelu. Osoitteesta on tullut yrityksiä vuoden 2020 jokaisena päivänä, useilla eri protokollilla, yhteensä 11766 kertaa. Aikaeron huomioiden koputukset ovat tapahtuneet amerikkalaiseen virka-aikaan.

Jos yksittäistä ip-osoitetta on "pommitettu" vuodessa yli kymmentuhatta kertaa, ja sama pommitus on kohdistettu tasaisesti kaikkiin neljään miljardiin osoitteeseen, heidän tuottamansa kokonaisliikenteen täytyy olla huima. Vastaava piikki aiheutui joitakin vuosia sitten Shodan-hakukoneesta.

Koputuksia/vrk eri vuosina

Vuositasolla liikennemäärä on hypähtänyt ylöspäin erityisesti vuosina 2016, 2019 ja 2020.

2 kommenttia:

  1. Onko nettiliittymälläsi IPv6-osoitetta? Porttikoputtelut luultavasti vähenevät olemattomiin sen myötä, koska jos jokainen käyttäjä saa operaattoriltaan prefixin jonka koko on /48-/64, niin ei siinä juuri satunnaisella osoiteskannauksella - edes pingiskannauksella - kohteita edes löydä. Palvelimet joiden osoitteet eivät vaihdu ovat toki löydettävissä.

    VastaaPoista
  2. Varmaan, mutta näitä on kiinnostavaa seurata ja tilastoida.

    VastaaPoista