僵尸网络及肉鸡行为分析
根据防火墙爆破日志及CC攻击日志整理
郑州市景安计算机网络技术有限公司 ZhengZhou GIANT Computer Network Technology Co., Ltd
AS号及地址范围:AS4837(联通所有)AS37943(电信所有) 116.255.128.0/17、203.171.224.0/20
景安的网络做了电信网通线路的BGP广播,网络质量不错、价格便宜,购买使用的人很多。选择景安的随便一个IP地址段进行扫描,web服务器大多以个人站、多个企业站同服务器,不同的架构、不同的语言特性要求服务器安装多种环境对web进行支持,造成了相对的安全性降低,现在我一看日志看到IP地址开头就能猜到那IP是景安的。
203.171.224.103 以此IP为例,上面通过查询DNS记录上面解析有60多个站,有php也有asp服务器还同时支持.NET,有白帽子说过“同IP上的网站越多权限做的越好”,这话不是绝对的,他设计到的因素太多了,你不可能全部兼顾。
良好的网络质量以及使用者的安全意思薄弱是组建僵尸网络的首选机房
北京电信通电信工程有限公司 Beijing Time-vision Telecommunicatio
AS号及地址范围:AS4847(电信) 118.244.0.0/16 AS4847(电信)、AS4808(网通) 118.244.128.0/18
电信同同样是采用BGP协议来解决的国内互联互通问题,通过查询DNS记录 上面的网站同样是形形色色,架构各式各样,于是乎你就能经常在报警日志里面看到
A brute force attack has been detected in one of your service logs.
IP 118.244.163.216 has 157 failed login attempts: proftpd1=134&proftpd2=23
阿里云计算 Aliyun Computing Co., LTD
AS号及地址范围:AS37963(阿里巴巴自有AS)IP地址范围
比以上两家更好的BGP网络环境,节点都在电信网通骨干网网络上,IPV6节点拥有CERNET2,优良的网络环境,高昂的价格、QOS保证的网络决定了使用者都不是小白,即使这样你一周内发现的报警日志里面总能发现它的影子。
burst Network Operations Center Inc
AS号及地址范围:AS21788 IP地址范围 (自有AS)
这家来自美国的IDC商,因其价格便宜吸引了不少国人购买使用,国人已经从代购、转售、售后做成了一条龙服务,有砖家说其是500强公司,至于是增长500强还是什么500强无从考证。
以往的日志中还有浙江的机房、东莞的机房(号称高防,私服侵权无数)、福建机房、北京歌华(新网)、西部数码、万网、贵州机房、江西机房、香港九仓电信、香港新世界、韩国KT、韩国SK、北美圣安娜、北美HE、北美fdc、北美SK、北美softlayer等等众多机房,这类IP最显著的特征就是上面放的站大多是SEO站、医院站(无证或者小医院)、私服、侵权、各类GOV站,虚拟主机服务器、其中医院站、性用品、电影站的web服务器发起的扫描最多,毫无例外的都是使用windows系统,linux类的暂未发现。
其他的以后补充。
(IP地址查对应机房:IP地址在 bgp.he.net 直接能查到IP所属机房的)
转自:http://zone.wooyun.org/content/1994
相关内容:
IP反查网站接口 旁站查询 IP查域名 域名历史解析记录查询 IP地址查机房AS号
基于日志整理出的经常扫描的 IDC、ISP、IP段、AS号及web服务器内容