Como en casa la máquina es hogareña y no hay problema en que bloquee lo que quiera, el software está configurado para adicionar la IP sospechosa al clásico archivo de control de accesos hosts.deny.
Recuerdo haber borrado hace unos meses todas las direcciones registradas en ese archivo, pero igual ya está bastante completito. La primer consulta con wc nos da el total de direcciones registradas actualmente.
$ grep DENY /etc/hosts.deny | wc -lLuego de leer el archivo un rato encontré que ciertas redes tenían mayor cantidad de direcciones registradas, por lo que me pareció razonable hacer un conteo de frecuencias por red. Podríamos hacerlo un script en algún lenguaje, pero hoy prefiero la consola.
3544
La línea que sigue, por críptica que parezca, lee el archivo hosts.deny, corta los primeros dos octetos de la dirección (supongo que la máscara de red es /16), las ordena por red, cuenta la frecuencia de aparición, vuelve a ordenar la lista por frecuencia, y finalmente extrae las 15 redes con mayor cantidad de IP registradas. No les parece preciosa?
Por supuesto, pueden omitir el tail final para obtener la lista completa.
$ grep DENY /etc/hosts.deny | cut -d' ' -f2 | cut -d. -f1,2 | sort \
| uniq -c | sort -n | tail -15
freq red(/16)
31 118.171
31 88.80
34 67.181
42 61.59
51 58.20
52 122.124
63 116.71
81 216.219
96 193.138
118 195.5
135 118.167
177 118.169
237 122.116
278 118.161
727 118.168
Salta a la vista la cantidad de direcciones 118.168.x.x registradas, pero además también hay 118.169.x.x, 118.167.x.x y otras. El link que adicioné a cada red apunta al informe correspondiente de ipinfo en SANS.
Grafico obligatorio...
Si nos centramos en el análisis de las direcciones tomando sólo el primer octeto, puede apreciarse la diferencia de las redes 118.x.x.x respecto del resto de las redes.
$ grep DENY /etc/hosts.deny | cut -d' ' -f2 | cut -d. -f1 | sort \Sobre el total de 3544, la proporción es la siguiente:
| uniq -c | sort -n | tail -12
freq red(/8)
51 24
52 59
67 58
83 61
83 67
85 216
87 116
92 87
100 193
118 195
360 122
1383 118
Segun whois.twnic.net, los segmentos 118.x.x.x y 122.x.x.x que suman casi el 50% de las direcciones registradas por PortSentry en este equipo pertenecen a la red de Chunghwa Telecom Data communication Business Group de Taiwan (www.hinet.net por si alguno entiende). Parece que los muchachos están ocupados...
Bueno ahora es el turno de ustedes. Alguno tiene resultados similares?
Saludos y buena semana!
No hay comentarios.:
Publicar un comentario