PDA

Voir la version complète : Origine des IP des scanners



jean
05/01/2016, 15h37
Bonjour à tou(te)s !

Récemment, je suis tombé sur un excellent lien dans le forum xivo sur un module qui permet de bloquer des liste d'ip (https://blog.laimbock.com/2013/09/22/how-to-block-countries-with-ipdeny-ip-country-blocks-ipset-and-iptables-on-el6/) et donc, des pays. Le gros avantage de ipset, c'est qu'il utilise en interne des hash tables, et donc, excellente performance apparemment (cf http://daemonkeeper.net/781/mass-blocking-ip-addresses-with-ipset/ )

J'ai donc un peu creusé la question de l'origine des ip des scammers... j'ai pris les logs de 3 serveurs, sur 30 jours, et j'ai analysé la répartition géographique de chaque IP (dans les résultats à suivre, une IP compte une seule fois par machine, même si elle a fait de multiples tentatives sur cette machine).

Winner toute catégorie: US, 44% des scanners (merci amazon), puis la jolie patrie d'Angela, DE: 30%, et la France, 9% (merci online majoritairement). A noter aussi que sur les 756 hits sur les 3 machines, on a en fait que 366 ip distinctes, car 151 ip ont tapé les 3 machines, 88 ont tapé 2 machines, et 127 une seule (les machines ont des ip, localisation et isp vraiment différents). Le honey pot est peut être pas si bête.

Au passage, ipset est vraiment simple à mettre en route, j'ai fait ça sur un centos 7.2 en 2h à peine (et je redécouvre centos à cette occasion....)

Les résultats complets:


336 country = US 44,4%
232 country = DE 30,7%
68 country = FR 9,0%
19 country = RU 2,5%
14 country = LT 1,9%
10 country = CN 1,3%
9 country = AU 1,2%
9 country = CA 1,2%
9 country = GB 1,2%
7 country = IN 0,9%
7 country = NL 0,9%
5 country = UA 0,7%
3 country = BR 0,4%
3 country = CO 0,4%
3 country = HK 0,4%
3 country = ID 0,4%
3 country = LI 0,4%
3 country = NO 0,4%
2 country = PK 0,3%
2 country = SG 0,3%
1 country = BG 0,1%
1 country = IR 0,1%
1 country = IT 0,1%
1 country = LV 0,1%
1 country = MX 0,1%
1 country = PH 0,1%
1 country = PS 0,1%
1 country = QA 0,1%
1 country = TW 0,1%

756