[Lista ArNOG] (INFO) TOP 10 port-scan en una subnet Honeypot
Esteban Carisimo
carisimo en cnet.fi.uba.ar
Vie Jun 8 13:33:37 ART 2018
Iván,
Muy Interesante, sobretodo la granularidad de tu análisis.
Eso me parece muy similar al proyecto UCSD Network Telescope
(https://www.caida.org/projects/network_telescope/), donde se hacen
análisis en función de un /8 que está anunciado por jamás en su historia
tuvo host contectados.
Saludos y esperamos ver como evolucionan estos resultados :)
Esteban Carisimo
Miembo de CoNexDat (UBA-CONICET)
http://cnet.fi.uba.ar/esteban_carisimo/
El 8/6/18 a las 10:28, Fernando R. Soto escribió:
>
> Muy bueno!
>
> *De:*lista-bounces en arnog.com.ar <lista-bounces en arnog.com.ar> *En
> nombre de *Hernan Moguilevsky - NOC CABASE
> *Enviado el:* viernes, 8 de junio de 2018 9:24 a.m.
> *Para:* lista en arnog.com.ar
> *Asunto:* Re: [Lista ArNOG] (INFO) TOP 10 port-scan en una subnet Honeypot
>
> Muy buena data!
>
> Gracias Ivan!
>
> On 08/06/18 01:04, Ivan Chapero wrote:
>
> Estimados,
>
> les comparto el TOP10 de dst-port registrados en un nuevo prefix que decidí dejar a modo de pseudo-honeypot unas semanas antes de asignarlo a dispositivos (un nuevo prefijo que comienza a anunciarse por BGP pero que nunca fue utilizado): (
>
> Top 10 Dst Port ordered by flows:
>
> Date first seen Duration Proto Dst Port Flows(%) Packets(%) Bytes(%) pps bps bpp
>
> 2018-06-07 13:22:57.426 40266.293 any 23 307885(22.7) 335206(21.2) 14.3 M(15.1) 8 2842 42
>
> 2018-06-07 13:23:55.842 40199.311 any 8291 232840(17.2) 233391(14.8) 9.6 M(10.2) 5 1908 41
>
> 2018-06-07 13:23:55.861 40199.558 any 7547 114526( 8.4) 114575( 7.2) 4.7 M( 5.0) 2 936 41
>
> 2018-06-07 13:23:57.184 40196.248 any 22 35951( 2.7) 57111( 3.6) 3.0 M( 3.2) 1 599 52
>
> 2018-06-07 13:41:12.870 32120.399 any 37215 31069( 2.3) 31108( 2.0) 1.3 M( 1.3) 0 313 40
>
> 2018-06-07 13:24:22.717 40137.509 any 5060 23830( 1.8) 23831( 1.5) 10.0 M(10.5) 0 1985 417
>
> 2018-06-07 13:23:58.597 40189.223 any 8080 17939( 1.3) 18187( 1.2) 739032( 0.8) 0 147 40
>
> 2018-06-07 13:23:58.590 40242.250 any 80 17233( 1.3) 21017( 1.3) 912863( 1.0) 0 181 43
>
> 2018-06-07 13:23:55.930 40207.759 any 445 16619( 1.2) 20269( 1.3) 1.0 M( 1.1) 0 203 50
>
> 2018-06-07 13:23:56.590 40198.672 any 8545 16046( 1.2) 16046( 1.0) 642020( 0.7) 0 127 40
>
> Claramente el default-port de WINBOX se convirtió en favorito en estos días, destronando a varios viejos consagrados :D.
>
> Saludos!
>
>
> --
>
> *Ivan Chapero
> **Área Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype
> ID: ivanchapero
>
> --
>
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito - Santa Fe - Argentina
>
>
>
>
>
>
>
>
>
>
> _______________________________________________
>
> Lista mailing list
>
> Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
> --
>
> Logo
>
>
>
> Hernan Moguilevsky
> /NOC CABASE/
>
> Cámara Argentina de Internet
> Suipacha 128 - 3 "F" - Tel: (5411) 5263-7456 ext. 109
> noc. en cabase.org.ar <mailto:noc.pablo en cabase.org.ar> ·
> www.cabase.org.ar <http://www.cabase.org.ar/>
>
> facebook <http://www.facebook.com/CabaseAr/>twitter
> <http://twitter.com/CabaseAr>linkedIn
> <http://www.linkedin.com/company/562172?trk=tyah&trkInfo=clickedVertical:company,clickedEntityId:562172,idx:2-1-2,tarId:1454513596509,tas:cabase>
>
> ecoNo me imprimas si no es necesario. Protejamos el medio ambiente
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180608/9d9ebb15/attachment.html>
Más información sobre la lista de distribución Lista