Eventos DDoS de Honeypot  (Honeypot DDoS Events Report)

Este informe contiene información sobre los comandos de ataque DDoS observados por drones honeypot. Estos drones emulan máquinas infectadas con bots de malware y pueden escuchar los comandos dados a esos bots. Estos comandos incluyen el C2 que emite el comando y la información de destino, la familia de malware, el protocolo que se usa para C2 y el destino del ataque, así como varios parámetros de ataque.

El src_ip a continuación es la IP C2 que emite los comandos, el dst_ip es la IP de la víctima del ataque. Si recibe este informe, significa que se ubicó un C2 (src_ip) que emitió el comando de ataque en su red o circunscripción.

La actividad informada generalmente está relacionada con Mirai como bots. La convención de nomenclatura y la descripción son coherentes con el código fuente de Mirai publicado.

Este informe tiene su versión hermana que contiene la misma información pero filtrada por dst_ip (dirección de las víctimas del ataque): Honeypot DDoS Target Events Report .

Puede obtener más información sobre el informe en nuestro tutorial Informe de eventos DDoS de Honeypot .

Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.

Este informe se habilitó como parte del proyecto HaDEA CEF VARIOT de la Unión Europea .

Nombre del archivo: event4_honeypot_ddos

CAMPOS

timestampMarca de tiempo cuando se vio la IP en UTC+0
protocolTipo de paquete del tráfico de conexión (UDP/TCP)
src_ipLa IP de origen del C2 que emite comandos de ataque DDoS
src_portPuerto de origen de la conexión IP
src_asnASN de la IP de origen
src_geoPaís de la IP de origen
src_regionRegión de la IP de origen
src_cityCiudad de la IP de origen
src_hostnameDNS inverso de la IP de origen
src_naicsCódigo del sistema de clasificación de la industria de América del Norte
src_sectorSector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial
device_vendorProveedor del dispositivo de origen
device_typeTipo de dispositivo de origen
device_modelModelo de dispositivo de origen
dst_ipIP de destino (IP atacada)
dst_portPuerto de destino de la IP atacada
dst_asnASN de la IP de destino
dst_geoPaís de la IP de destino
dst_regionRegión de la IP de destino
dst_cityCiudad de la IP de destino
dst_hostnameDNS inverso de la IP de destino
dst_naicsCódigo del sistema de clasificación de la industria de América del Norte
dst_sectorSector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial
public_sourceFuente de los datos del evento
infectionDescripción del malware/infección
familyFamilia de malware o campaña asociada con el evento
tagAtributos de eventos
applicationNombre de la aplicación asociada al evento
versionVersión de software asociada al evento
event_idIdentificador único asignado a la IP de origen o al evento
dst_networkRed CIDR siendo atacada
dst_netmaskMáscara de la red de destino bajo ataque
attackTipo de ataque (comando emitido)
durationDuración del ataque
attack_src_ipIP de origen de ataque falsificado (si está configurado)
attack_src_portPuerto de origen del ataque falsificado (si está configurado)
domainDominio a atacar (en comando de ataque)
domain_transaction_idID de transacción de dominio, el valor predeterminado es aleatorio (nomenclatura interna de bot)
gcipSe puede usar para establecer la IP interna en la IP de destino, el valor predeterminado es 0 (no)
http_methodNombre del método HTTP utilizado para el ataque, el valor predeterminado es GET
http_pathRuta HTTP utilizada para el ataque observado, el valor predeterminado es /
http_postdataDatos POST si se está utilizando alguno en el ataque, el valor predeterminado es vacío/ninguno
http_usessl¿Se usa SSL en inundaciones HTTP?
ip_header_ackEstablezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no), excepto para la inundación ACK
ip_header_acknumValor del número de reconocimiento en el encabezado TCP, el valor predeterminado es aleatorio
ip_header_dont_fragmentEstablezca el bit Dont-Fragment en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_finConfigure el bit FIN en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_identityValor del campo ID en el encabezado IP, el valor predeterminado es aleatorio
ip_header_pshConfigure el bit PSH en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_rstEstablezca el bit RST en el encabezado IP, el valor predeterminado es 0 (no)
ip_header_seqnumValor del número de secuencia en el encabezado TCP, el valor predeterminado es aleatorio
ip_header_synEstablezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no), excepto para la inundación SYN
ip_header_tosValor del campo TOS en el encabezado IP, el valor predeterminado es 0
ip_header_ttlCampo TTL en el encabezado IP, el valor predeterminado es 255
ip_header_urgConfigure el bit URG en el encabezado IP, el valor predeterminado es 0 (no)
number_of_connectionsNúmero de conexiones
packet_lengthTamaño de los datos del paquete, el valor predeterminado es 512 bytes
packet_randomizedAleatorizar el contenido de los paquetes de datos, el valor predeterminado es 1 (sí)

EJEMPLO

"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","domain_source","public_source","infection","family","tag","application","version","event_id","dst_network","dst_netmask","attack","duration","attack_src_ip","attack_src_port","domain","domain_transaction_id","gcip","http_method","http_path","http_postdata","http_usessl","ip_header_ack","ip_header_acknum","ip_header_dont_fragment","ip_header_fin","ip_header_identity","ip_header_psh","ip_header_rst","ip_header_seqnum","ip_header_syn","ip_header_tos","ip_header_ttl","ip_header_urg","number_of_connections","packet_length","packet_randomized"
"2022-03-14 00:13:30",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"121.12.x.x",88,4134,"CN","HUBEI SHENG","WUHAN",,517311,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"121.12.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 00:18:31",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"180.97.x.x",80,137697,"CN","JIANGSU SHENG","NANJING",,517311,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"180.97.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 00:19:03",,"46.101.x.x",6379,14061,"DE","HESSEN","FRANKFURT AM MAIN",,518210,"Communications, Service Provider, and Hosting Service",,,,"104.237.x.x",,63949,"US","TEXAS","RICHARDSON",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"104.237.138.135/32",32,"atk7",10,,,,,,,,,,,,,,,,,,,,,,,,
"2022-03-14 00:26:09",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"42.51.x.x",80,56005,"CN","BEIJING SHI","BEIJING",,,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"42.51.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 00:28:39",,"46.101.x.x",6379,14061,"DE","HESSEN","FRANKFURT AM MAIN",,518210,"Communications, Service Provider, and Hosting Service",,,,"141.94.x.x",22,16276,"FR","HAUTS-DE-FRANCE","ROUBAIX",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"141.94.x.x/32",32,"atk5",120,,,,,,,,,,,,,,,,,,,,,,,,
"2022-03-14 00:29:42",,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,,,"103.216.x.x",89,137697,"CN","BEIJING SHI","BEIJING",,,,,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"103.216.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,

Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-ddos-events/