Este informe registra el tráfico observado en las redes darknet.
Las redes oscuras son conjuntos de direcciones IP no utilizadas que, en teoría, no deberían observar tráfico. Sin embargo, en la práctica, una gran cantidad de tráfico llega a dichas redes a través de actividades como el escaneo de Internet, la propagación de malware o la retrodispersión de eventos DDoS falsificados, lo que significa que estos paquetes de red a menudo pueden clasificarse inmediatamente como sospechosos o maliciosos. De esta manera, las redes oscuras cumplen un tipo de función similar a la de los oyentes trampa, solo que más simple. Se pueden emplear medidas adicionales de identificación de paquetes para atribuir herramientas o malware que envía dichos paquetes.
Puede obtener más información sobre el informe en el tutorial Informe de eventos de Darknet .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público , que también explica ejemplos de casos de uso.
Nombre del archivo: event4_honeypot_darknet
Este tipo de informe se creó como parte del proyecto EU Horizon 2020 SISSDEN.
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
src_ip | La IP del dispositivo en cuestión |
src_port | Puerto de origen de la conexión IP |
src_asn | ASN de la IP de origen |
src_geo | País de la IP de origen |
src_region | Región de la IP de origen |
src_city | Ciudad de la IP de origen |
src_hostname | DNS inverso de la IP de origen |
src_naics | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de origen |
device_type | Tipo de dispositivo de origen |
device_model | Modelo de dispositivo de origen |
dst_ip | IP de destino |
dst_port | Puerto de destino de la conexión IP |
dst_asn | ASN de la IP de destino |
dst_geo | País de la IP de destino |
dst_region | Región de la IP de destino |
dst_city | Ciudad de la IP de destino |
dst_hostname | DNS inverso de la IP de destino |
dst_naics | Código del sistema de clasificación de la industria de América del Norte |
dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
public_source | Fuente de los datos del evento |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Atributos de eventos |
application | Nombre de la aplicación asociada al evento |
version | Versión de software asociada al evento |
event_id | Identificador único asignado a la IP de origen o al evento |
count | Recuento de paquetes si está registrado |
EJEMPLO
<!-- wp:paragraph -->
<p>"timestamp","protocolo","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type ","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection", "familia","etiqueta","aplicación","versión","event_id","recuento" </p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021-03-07 00:00:00","tcp","61.3.xx",4717,9829, "EN","KERALA","CHENGANNUR",,518210,,,,,,23,,,,,,,,,"mirai","mirai", </p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021-03-07 00:00:00","tcp","211.218.xx",4405,4766,"KR","GANGWON-DO","PYEONGCHANG -EUP",,517311,,,,,,23,,,,,,,,,"mirai","mirai", </p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021-03-07 00:00:00","tcp" ,"45.225.xx",59777,266915,"BR","BAHIA","VITORIA DA CONQUISTA","static-45-225-xx.example.net",,,,,,,23,,,, ,,,,,"mirai","mirai",,,,59777,266915,"BR","BAHIA","VITORIA DA CONQUISTA","static-45-225-xx.example.net",,,,,,,23,,,,,,,,"mirai ",,"mirai",,,,59777,266915,"BR","BAHIA","VITORIA DA CONQUISTA","static-45-225-xx.example.net",,,,,,,23,,,,,,,,"mirai ",,"mirai",,,,</p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021-03-07 00:00:00","tcp","125.122.xx",8460,4134,"CN","ZHEJIANG SHENG","HANGZHOU",,517311,,,,,,23, ,,,,,,,,"mirai","mirai", </p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021-03-07 00:00:00","tcp","219.77.xx",21867,4760,"HK" ,"HONG KONG","HONG KONG","n219077092196.example.com",517311,,,,,,5555,,,,,,,,,"mirai","mirai", </p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021 -03-07 00:00:00","tcp","24.137.xx",4680,14638,"PR","PUERTO RICO","SAN JUAN","dynamic.libertypr.net",,,, ,,,5555,,,,,,,,,"mirai","mirai",,,, </p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021-03-07 00:00:00","tcp","119.182.xx",13175, 4837,"CN","SHANDONG SHENG","JINING",,517311,,,,,,23,,,,,,,,,"mirai","mirai",,,, </p>
<!-- /wp:paragraph -->
<!-- wp:paragraph -->
<p>"2021-03-07 00:00:00","tcp" ,"27.198.xx",56133,4837,"CN","SHANDONG SHENG","JINAN",,517311,,,,,,23,,,,,,,,"mirai","mirai" ,,,,</p>
<!-- /wp:paragraph -->
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-darknet-events-report/