domingo, junio 08, 2008

Curiosidades en los logs

Hoy estuve un rato leyendo los logs del equipo en casa, y entre los que leo está el que genera PortSentry. PortSentry que es un programa sencillo que escucha en ciertos puertos y al recibir una conexión en alguno de ellos registra la IP de origen, además de permitir ejecutar alguna acción tras una cantidad dada de intentos de conexión. Este criterio trivial brinda una protección básica ante un escaneo de puertos; lo que no implica que el intento sea un ataque, ya que podría ser simplemente que yo mismo erré de puerto al tratar de conectarme desde fuera a un servicio particular.

Como en casa la máquina es hogareña y no hay problema en que bloquee lo que quiera, el software está configurado para adicionar la IP sospechosa al clásico archivo de control de accesos hosts.deny.

Recuerdo haber borrado hace unos meses todas las direcciones registradas en ese archivo, pero igual ya está bastante completito. La primer consulta con wc nos da el total de direcciones registradas actualmente.
$ grep DENY /etc/hosts.deny | wc -l
3544
Luego de leer el archivo un rato encontré que ciertas redes tenían mayor cantidad de direcciones registradas, por lo que me pareció razonable hacer un conteo de frecuencias por red. Podríamos hacerlo un script en algún lenguaje, pero hoy prefiero la consola.

La línea que sigue, por críptica que parezca, lee el archivo hosts.deny, corta los primeros dos octetos de la dirección (supongo que la máscara de red es /16), las ordena por red, cuenta la frecuencia de aparición, vuelve a ordenar la lista por frecuencia, y finalmente extrae las 15 redes con mayor cantidad de IP registradas. No les parece preciosa?
Por supuesto, pueden omitir el tail final para obtener la lista completa.
$ grep DENY /etc/hosts.deny | cut -d' ' -f2 | cut -d. -f1,2 | sort \
| uniq -c | sort -n | tail -15

freq red(/16)
31 118.171
31 88.80
34 67.181
42 61.59
51 58.20
52 122.124
63 116.71
81 216.219
96 193.138
118 195.5
135 118.167
177 118.169
237 122.116
278 118.161
727 118.168

Salta a la vista la cantidad de direcciones 118.168.x.x registradas, pero además también hay 118.169.x.x, 118.167.x.x y otras. El link que adicioné a cada red apunta al informe correspondiente de ipinfo en SANS.

Grafico obligatorio...

Si nos centramos en el análisis de las direcciones tomando sólo el primer octeto, puede apreciarse la diferencia de las redes 118.x.x.x respecto del resto de las redes.
$ grep DENY /etc/hosts.deny | cut -d' ' -f2 | cut -d. -f1 | sort \
| uniq -c | sort -n | tail -12

freq red(/8)
51 24
52 59
67 58
83 61
83 67
85 216
87 116
92 87
100 193
118 195
360 122
1383 118
Sobre el total de 3544, la proporción es la siguiente:


Segun whois.twnic.net, los segmentos 118.x.x.x y 122.x.x.x que suman casi el 50% de las direcciones registradas por PortSentry en este equipo pertenecen a la red de Chunghwa Telecom Data communication Business Group de Taiwan (www.hinet.net por si alguno entiende). Parece que los muchachos están ocupados...

Bueno ahora es el turno de ustedes. Alguno tiene resultados similares?
Saludos y buena semana!

No hay comentarios.: