Este informe contiene información sobre los objetivos de ataques DDoS observados por drones honeypot. Estos drones emulan máquinas infectadas con bots de malware y pueden escuchar los comandos dados a esos bots. Estos comandos incluyen el C2 que emite el comando y la información de destino, la familia de malware, el protocolo que se usa para C2 y el destino del ataque, así como varios parámetros de ataque.
El dst_ip es la IP de la víctima del ataque, el src_ip a continuación es la IP C2 que emite los comandos. Si está recibiendo este informe, significa que una IP (dst_ip) que fue atacada se ubicó en su red o circunscripción (destino del ataque).
La actividad informada generalmente está relacionada con Mirai como bots. La convención de nomenclatura y la descripción son coherentes con el código fuente de Mirai publicado.
Este informe tiene su versión hermana que contiene la misma información pero filtrada por src_ip (dirección de los comandos de emisión de C2): el informe de eventos Honeypot DDoS.
Puede obtener más información sobre el informe en el tutorial Informe de eventos de destino de DDoS de Honeypot .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Este informe se habilitó como parte del proyecto HaDEA CEF VARIOT de la Unión Europea .
Nombre del archivo: event4_honeypot_ddos_target
CAMPOS
timestamp | Marca de tiempo cuando se vio la dirección IP, en UTC+0 |
protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
dst_ip | IP de destino (siendo atacado por un DDoS) |
dst_port | Puerto de destino (siendo atacado por un DDoS) |
dst_asn | ASN de la IP de destino |
dst_geo | País de la IP de destino |
dst_region | Región de la IP de destino |
dst_city | Ciudad de la IP de destino |
dst_hostname | DNS inverso de la IP de destino |
dst_naics | Código del sistema de clasificación de la industria de América del Norte |
dst_sector | Sector al que pertenece la IP de destino en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de destino |
device_type | Tipo de dispositivo de destino |
device_model | Modelo de dispositivo de destino |
src_ip | IP de origen (IP que actúa como C2, es decir, emite comandos) |
src_port | Puerto de origen de los comandos de ataque |
src_asn | ASN de la IP de origen |
src_geo | País de la IP de origen |
src_region | Región de la IP de origen |
src_city | Ciudad de la IP de origen |
src_hostname | DNS inverso de la IP de origen |
src_naics | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la IP de destino en cuestión; por ejemplo, Comunicaciones, Comercial |
public_source | Fuente de los datos del evento |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Atributos de eventos |
application | Nombre de la aplicación asociada al evento |
version | Versión de software asociada al evento |
event_id | Identificador único asignado a la IP de origen o al evento |
dst_network | Red CIDR siendo atacada |
dst_netmask | Máscara de la red de destino bajo ataque |
attack | Tipo de ataque (comando emitido) |
duration | Duración del ataque |
attack_src_ip | IP de origen de ataque falsificado (si está configurado) |
attack_src_port | Puerto de origen del ataque falsificado (si está configurado) |
domain | Dominio a atacar (en comando de ataque) |
domain_transaction_id | ID de transacción de dominio, el valor predeterminado es aleatorio (nomenclatura interna de bot) |
gcip | Se puede usar para establecer la IP interna en la IP de destino, el valor predeterminado es 0 (no) |
http_method | Nombre del método HTTP utilizado para el ataque, el valor predeterminado es GET |
http_path | Ruta HTTP utilizada para el ataque observado, el valor predeterminado es / |
http_postdata | Datos POST si se está utilizando alguno en el ataque, el valor predeterminado es vacío/ninguno |
http_usessl | ¿Se usa SSL en inundaciones HTTP? |
ip_header_ack | Establezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no) excepto para la inundación ACK» |
ip_header_acknum | Valor del número de reconocimiento en el encabezado TCP, el valor predeterminado es aleatorio |
ip_header_dont_fragment | Establezca el bit Dont-Fragment en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_fin | Configure el bit FIN en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_identity | Valor del campo ID en el encabezado IP, el valor predeterminado es aleatorio |
ip_header_psh | Configure el bit PSH en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_rst | Establezca el bit RST en el encabezado IP, el valor predeterminado es 0 (no) |
ip_header_seqnum | Valor del número de secuencia en el encabezado TCP, el valor predeterminado es aleatorio |
ip_header_syn | Establezca el bit ACK en el encabezado IP, el valor predeterminado es 0 (no), excepto para la inundación SYN |
ip_header_tos | Valor del campo TOS en el encabezado IP, el valor predeterminado es 0 |
ip_header_ttl | Campo TTL en el encabezado IP, el valor predeterminado es 255 |
ip_header_urg | Configure el bit URG en el encabezado IP, el valor predeterminado es 0 (no) |
number_of_connections | Número de conexiones |
packet_length | Tamaño de los datos del paquete, el valor predeterminado es 512 bytes |
packet_randomized | Aleatorizar el contenido de los paquetes de datos, el valor predeterminado es 1 (sí) |
EJEMPLO
"timestamp","protocol","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","device_vendor","device_type","device_model","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","domain_source","public_source","infection","family","tag","application","version","event_id","dst_network","dst_netmask","attack","duration","attack_src_ip","attack_src_port","domain","domain_transaction_id","gcip","http_method","http_path","http_postdata","http_usessl","ip_header_ack","ip_header_acknum","ip_header_dont_fragment","ip_header_fin","ip_header_identity","ip_header_psh","ip_header_rst","ip_header_seqnum","ip_header_syn","ip_header_tos","ip_header_ttl","ip_header_urg","number_of_connections","packet_length","packet_randomized"
"2022-03-14 17:02:28",,"115.238.x.x",80,136190,"CN","HUBEI SHENG","WUHAN",,517311,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"115.238.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:09:46",,"52.184.x.x",43437,8075,"HK","HONG KONG","HONG KONG",,334111,"Information",,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"52.184.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:23:17",,"211.99.x.x",80,134763,"CN","SHANDONG SHENG","JINAN",,,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"211.99.x.x/32",32,"atk10",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:26:59",,"117.172.x.x",80,9808,"CN","SICHUAN SHENG","CHENGDU",,517312,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"117.172.x.x/32",32,"atk0",30,,,,,,,,,,,,,,,,,,,,,,,1440,
"2022-03-14 17:31:53",,"103.100.x.x",80,136970,"HK","HONG KONG","HONG KONG",,,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"103.100.x.x/32",32,"atk8",30,,,"103.100.x.x",,,,,,,,,,,,,,,,,,,3000,,
"2022-03-14 17:35:35",,"45.117.x.x",57991,137697,"CN","BEIJING SHI","BEIJING",,,,,,,"198.50.x.x",61234,16276,"CA","QUEBEC","MONTREAL",,518210,"Communications, Service Provider, and Hosting Service",,"CAPRICA-EU","ddos","mirai","mirai","mirai",,,"45.117.10.xx/32",32,"atk1",30,,,,,,,,,,,,,,,,,,,,,,,1440,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/honeypot-ddos-target-events-report/