Este informe contiene información sobre los eventos DDoS de amplificación observados en el honeypot. Si está viendo este informe, significa que su IP fue DDoSed utilizando otros hosts/servicios como reflectores.
Esta categoría de ataques DDoS utiliza servicios amplificables, abiertos y basados en UDP para reflejar paquetes a una víctima, falsificando la dirección IP de origen de los paquetes enviados por el amplificador a la dirección IP de la víctima.
Según el protocolo y el tipo de servicios abiertos abusados, el tamaño del contenido del paquete original enviado por el atacante puede amplificarse en la respuesta del servicio varias veces (incluso por un factor de cientos), inundando a la víctima con paquetes y habilitando DDoS.
Se pueden utilizar honeypots que emulan servicios abiertos y amplificables para detectar este tipo de abuso. Sin embargo, dado que la fuente de estos ataques se suplanta a la dirección de la víctima, solo es posible informar sobre las víctimas que sufren abusos, no sobre la verdadera fuente del DDoS.
Puede leer más sobre las observaciones de ataques DDoS en la entrada del blog de SISSDEN sobre observaciones de ataques DDoS en 2018. Para obtener más información sobre cómo funcionan los ataques DDoS amplificables, consulte este artículo y artículo de Christian Rossow, así como la alerta US-CERT (TA14-017A) .
Este informe contiene información sobre la IP que fue atacada (configurada en src_ip) y el puerto del que se abusó en el honeypot para intentar que atacara su IP (configurada en dst_port).
Puede obtener más información sobre el informe en el tutorial Informe de eventos DDoS de amplificación de Honeypot .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Nombre del archivo: event4_honeypot_ddos_amp
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
|---|---|
| protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
| src_ip | La IP del dispositivo en cuestión |
| src_port | Puerto de origen de la conexión IP |
| src_asn | ASN de la IP de origen |
| src_geo | País de la IP de origen |
| src_region | Región de la IP de origen |
| src_city | Ciudad de la IP de origen |
| src_hostname | DNS inverso de la IP de origen |
| src_naics | Código del sistema de clasificación de la industria de América del Norte |
| src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| device_vendor | Proveedor del dispositivo de origen |
| device_type | Tipo de dispositivo de origen |
| device_model | Modelo de dispositivo de origen |
| dst_ip | IP de destino |
| dst_port | Puerto de destino de la conexión IP |
| dst_asn | ASN de la IP de destino |
| dst_geo | País de la IP de destino |
| dst_region | Región de la IP de destino |
| dst_city | Ciudad de la IP de destino |
| dst_hostname | DNS inverso de la IP de destino |
| dst_naics | Código del sistema de clasificación de la industria de América del Norte |
| dst_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
| public_source | Fuente de los datos del evento |
| infection | Descripción del malware/infección |
| family | Familia de malware o campaña asociada con el evento |
| tag | Atributos de eventos |
| application | Nombre de la aplicación asociada al evento |
| version | Versión de software asociada al evento |
| event_id | Identificador único asignado a la IP de origen o al evento |
| request | Solicitud que se utiliza para generar el ataque de amplificación, si se registra |
| count | Recuento de paquetes enviados como parte del ataque |
| bytes | Bytes enviados como parte del ataque |
| end_time | El momento en que terminó el ataque (si lo registra la fuente) |
EJEMPLO
"timestamp","protocol","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection","family","tag","application","version","event_id","request","count","bytes","end_time"
"2021-03-28 00:00:02",,"107.141.x.x",,7018,"US","CALIFORNIA","VISALIA","107-141-x-x.lightspeed.frsnca.sbcglobal.net",517311,"Communications, Service Provider, and Hosting Service",,,,,389,,,,,,,,"CISPA","ddos-amplification",,,,,,,,,"2021-03-28 00:20:22"
"2021-03-28 00:00:02",,"74.59.x.x",,5769,"CA","QUEBEC","CHICOUTIMI","modemcablex-x-59-74.mc.videotron.ca",517311,"Communications, Service Provider, and Hosting Service",,,,,389,,,,,,,,"CISPA","ddos-amplification",,,,,,,,,"2021-03-28 00:13:50"
"2021-03-28 00:00:02",,"65.131.x.x",,209,"US","WYOMING","CASPER","65-131-x-x.chyn.qwest.net",517311,"Communications, Service Provider, and Hosting Service",,,,,389,,,,,,,,"CISPA","ddos-amplification",,,,,,,,,
"2021-03-28 00:00:02",,"104.162.x.x",,12271,"US","NEW YORK","KINGSTON","cpe-104-162-x-x.hvc.res.rr.com",517311,"Communications, Service Provider, and Hosting Service",,,,,389,,,,,,,,"CISPA","ddos-amplification",,,,,,,,,
"2021-03-28 00:00:02",,"37.120.178.x.x",,197540,"DE","NIEDERSACHSEN","GIFHORN","v22020111328131649.ultrasrv.de",,,,,,,389,,,,,,,,"CISPA","ddos-amplification",,,,,,,,,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-amplification-ddos-events-report/