Rozbor přijatých událostí¶
- Table of contents
- Rozbor přijatých událostí
Stav odesílajících klientů k 16.4.2012¶
Database size: 626MB Count of saved events: 4770831 Last ID in events table: 4770855 Time of first inserted event: 2011-11-22T08:50:35 (UTC) Time of latest inserted event: 2012-04-16T08:06:05 (UTC) Count of registered clients: 20 +-----------------------------------------------------------------------------------------------------------+ | Client ID | Hostname | Service | Stored events | Last insertion (UTC) | +-----------------------------------------------------------------------------------------------------------+ | 1 | warden.cesnet.cz | ScanDetector | 3001 | 2012-03-13T11:16:36 | | 2 | warden.cesnet.cz | HoneyScan | 1 | 2011-11-30T14:42:19 | | 3 | warden.cesnet.cz | PhiGaro | 3 | 2011-11-30T14:42:24 | | 4 | nfsen.ics.muni.cz | ScanDetector_1.0 | 52616 | 2012-04-16T08:06:05 | | 5 | nfsen-devel.ics.muni.cz | honeyscan | 442992 | 2011-12-22T09:30:23 | | 6 | au1.cesnet.cz | CESNET_IDS | 301 | 2012-04-15T14:04:02 | | 7 | au2.cesnet.cz | IDS.CZ | 1346 | 2012-04-16T06:15:05 | | 8 | netis.vsb.cz | PhishReport | 4 | 2011-12-07T11:42:10 | | 11 | nfsen.ics.muni.cz | SSHBruteForce-1_N | 578 | 2012-04-16T00:06:52 | | 12 | holly.cesnet.cz | KippoHoneypot | 5068 | 2012-03-21T07:25:01 | | 13 | queeg.cesnet.cz | DionaeaHoneypot | 6650 | 2012-04-16T08:05:03 | | 14 | bee.net.vutbr.cz | HPScan | 4250232 | 2012-04-16T06:19:55 | | 17 | netis.vsb.cz | BruteForceDetector | 1 | 2011-12-08T07:28:51 | | 18 | au1.cesnet.cz | CESNET_SSERV | 8038 | 2012-04-16T04:21:25 | +-----------------------------------------------------------------------------------------------------------+
| název | počet událostí | poslední událost | majitel | status |
|---|---|---|---|---|
| ScanDetector | 3001 | 2012-03-13T11:16:36 | Stary tester vykonu | |
| HoneyScan | 1 | 2011-11-30T14:42:19 | Stary test | |
| PhiGaro | 3 | 2011-11-30T14:42:24 | Stary test | |
| ScanDetector_1.0 | 52616 | 2012-04-16T08:06:05 | MUNI | Funkční |
| honeyscan | 442992 | 2011-12-22T09:30:23 | MUNI | Nefunkční |
| CESNET_IDS | 301 | 2012-04-15T14:04:02 | CESNET | Funkční - opraveno odesílání nekompletních událostí |
| IDS.CZ | 1346 | 2012-04-16T06:15:05 | CESNET | Funkční - opraveno odesílání nekompletních událostí |
| PhishReport | 4 | 2011-12-07T11:42:10 | VSB | Nefunkční |
| SSHBruteForce-1_N | 578 | 2012-04-16T00:06:52 | MUNI | Funkční |
| KippoHoneypot | 5068 | 2012-03-21T07:25:01 | Plzen | Nefunkční |
| DionaeaHoneypot | 6650 | 2012-04-16T08:05:03 | Plzen | Funkční |
| HPScan | 4250232 | 2012-04-16T06:19:55 | VUT | Funkční |
| BruteForceDetector | 1 | 2011-12-08T07:28:51 | VSB | Nefunkční |
| CESNET_SSERV | 8038 | 2012-04-16T04:21:25 | CESNET | Funkční - opraveno odesílání nekompletních událostí |
Události přijímané na MUNI¶
Měřeno v období 15.4.2012 20:10 až 16.4.2012 18:10.
Darkspace¶
událostí celkem: 363
událostí za hod.: 16.5
Počet událostí vzhledem k zastoupeným klientům odesílajícím událost typu Darkspace.
| počet událostí | % | klient |
|---|---|---|
| 13 | 4% | CESNET_SSERV (au1.cesnet.cz) |
| 170 | 47% | IDS.CZ (au2.cesnet.cz) |
| 180 | 49% | DionaeaHoneypot (queeg.cesnet.cz) |
Rozdělení událostí vzhledem k sloupci note (typ útoku) v událostech Darkspace.
| počet událostí | % | note (typ útoku) |
|---|---|---|
| 186 | 50% | |
| 2 | 1% | conficker.c |
| 11 | 3% | downadup |
| 82 | 23% | END |
| 82 | 23% | START |
Portscan¶
událostí celkem : 19192
událostí za hod.: 872
Rozdělení událostí vzhledem k zastoupeným klientům odesílajícím událost typu Portscan.
| počet událostí | % | klient |
|---|---|---|
| 19192 | 100% | HPScan (bee.net.vutbr.cz) |
Top 10 skenovaných portů zastoupených v událostech zaslaných klientem.
| počet událostí | % | port | použití |
|---|---|---|---|
| 5420 | 28% | 3389 | Remote Desktop |
| 1791 | 9% | 6872 | ??? |
| 1295 | 8% | 4899 | Remote Administrator |
| 1280 | 7% | 6596 | ??? |
| 1093 | 6% | 3351 | Btrieve, Pervasive SQL |
| 913 | 5% | 8391 | ??? |
| 705 | 4% | 8167 | ??? |
| 465 | 2% | 8353 | ??? |
| 464 | 2% | 4247 | ??? |
| 352 | 2% | 80 | WWW |
| 345 | 2% | 22 | SSH |