Statistiques

Statistiques drupal_admin jeu 10/11/2016 - 00:30

J'ai décidé de regrouper ici quelques résultats statistiques obtenus soit par analyse des "logs" du pare-feu soit plus récemment grâce à Ntop (actuellement 2.4) qui depuis la version 2.2 enregistre dans une base Mysql tous les élements de connexion.
Vous pouvez voir ici tout ce qui concerne Ntop et NtopNG.

Voir ici une mise à jour de septembre 2017.
Pour en revenir aux statistiques je me suis toujours amusé à essayer de savoir qui s'intéressait à mon petit système. Les analyses des résultats du firewall obligent à traiter les fichiers de Log et à traiter des tonnes de texte pour en tirer quelques résultats. Un script enregistre régulièrement ces données dans une base Mysql, mais seuls les évènements ayant "buté" sur le Firewall sont enregistrés.
NtopNG qui enregistre tous les flux réseau est encore plus précis puisqu'il ne loupe rien, pas la plus petite connexion qui lui échappe. L'invasion du port 23 (et 2323) n'a pas échappé à sa détection.
Les statistiques "anciennes" sont
reportées dans la section "obsolete".

taxonomie

Attaques web

Attaques web drupal_admin jeu 21/02/2019 - 15:57

Après quelques semaines d'utilisation de Suricata en protection d'un serveur WEB j'ai compilé cette petite statistique sur les attaques les plus fréquentes sur le port 80 (Https est hors de portée de Suricata, mais Modsec est là pour le Https).
Tableau numéro 1 par pays (certains pays sont absents car bloqués au niveau du pare-feu : Chine, Russie ...).

Code Nom du pays Nbr hits
TH Thaïlande 591
US États-Unis 492
KR République de Corée 182
ES Espagne 170
TW Taïwan 154
MY Malaisie 144
FR France 115
CZ République Tchèque 113
HU Hongrie 102
DE Allemagne 69
IP NULL 32
IT Italie 31
BE Belgique 30
FI Finlande 27

Tableau numéro 2 par type d'attaque :

CTR Libellé
325 Web attack phpmyadmin
210 WEB attack /wp-login.php
134 WEB Attack /admin
78 Web attack /pma
77 WEB attack acces mysql
71 WEB Attack setup.php
67 WEB Attack /user/register
59 ET EXPLOIT HackingTrio UA (Hello, World)
55 WEB Attack /test
40 WEB Attack /muhstik
38 ET SCAN ZmEu Scanner User-Agent Inbound
35 WEB attack myadmin
35 Web Attack : /myadmin/script
35 Web attack /scripts/
30 Web Attack /admin/phpmy...
29 ET WEB_SPECIFIC_APPS Drupalgeddon2 <8.3.
29 Web attack /cmd
29 WEB Attack xmlrpc.php
29 WEB Attack /plugin
27 ET WEB_SPECIFIC_APPS [PT OPEN] Drupalged
26 WEB Attack '/web'
26 ET SCAN Possible Nmap User-Agent Observe
25 Web attack /s.php
24 WEB Attack ?q=user/password
21 WEB Attack '/xw'
21 Web Attack : /administrator
20 Web attack sur HNAP1
20 WEB Attack /shell
20 WEB attack /dbadmin
19 Web Attach /lala...
19 WEB Attack '/plugins/wea'
18 Web Attack : /pmamy..
18 WEB Attack /admin/pma
17 WEB Attack /phpadmin
16 Web attack /wordpress
15 Web Attack /wp-content
15 ET WEB_SERVER Exploit Suspected PHP Inje
15 WEB Attack /data
12 WEB Attack /vuln.php
12 WEB Attack alpengruss.it
11 WEB Attack '/w.php'
11 Web attack /sheep
11 WEB attack /db/..
11 Web attack /web/
11 WEB attack /mysqladmin
11 WEB Attack '/manager'

On voit ici que les attaques enregistrées sont des attaques "simples" faisant, en général, référence à des bugs logiciels (par exemple /wp-login.php), de mauvaises configurations ou l'installation de logiciels spécifiques. Il est par exemple très imprudent de laisser un "Phpmyadmin" accessible sur Internet, même si le répertoire principal est rebaptisé "pma".

La mode dans les attaques WEB

La mode dans les attaques WEB drupal_admin sam 01/02/2020 - 18:41

Les attaques de serveurs WEB.
Les nouveautés :
Juin 2020 : La dernière attaque "à la mode " :
GET /?q=user
Je ne sais pas encore à quoi est liée cette attaque ... mais j'en ai récupéré plus de 20 sur une seule journée !
Encore beaucoup de "2 accès de longueur 14 et 4 sans aucun header".

Attaques "TYPE" :
Il existe une multitude d'attaques sur les sites Web depuis tous les "hits" sur /phpmyadmin, /myadmin, /pma/...... /wp-login
d'autres sont plus ciblées, par exemple /HNAP1 orientée vers certains routeurs ...
Mais il existe des modes, diffusion d'un nouveau script de recherche de vulnérabilités en général, on voit de telles attaques pendant des périodes plus ou moins longues et elles peuvent représenter un volume très important, les dernières en date concernent deux Url spécifiques :

  • .env
  • /.git/HEAD
  • Une nouvelle lubie (?) les URL commençant par "//", je ne sais pas ce que c'est censé faire, mais sur un serveur Apache les "//" sont convertis en "/" pour l'accès ce qui ne change donc rien.

".env" déjà rencontré quelques fois sur une longue période présente ces trois derniers jours une quantité plus de 10 fois supérieure aux autres attaques.
Il semble que ".env" soit utilisé par certains sites pour stocker des paramètres tels que les accès à la base de données ... si ces fichiers sont accessibles c'est la porte ouverte pour accéder aux données des utilisateurs ... et/ou pirater le site.
J'ai aussi vu des sites avec un suivi de version assuré par un gestionnaire de version, l'accès à HEAD doit pouvoir révéler des choses intéressantes sur le site.
Dans la plupart des cas il s'agit d'un non-respect des bonnes pratiques car ce type de fichier ne doit pas être "visible de l'extérieur" car contenant des données qui peuvent être sensibles : accès à la base, mot de passe administrateur ....

Liste d'URL d'attaques courantes :

  • /CHANGELOG.txt  pour déterminer les logiciels et versions utilisés
  • /jmx-console   pour ceux qui laissent une console java accessible sur internet, c'est une invitation aux tentatives de brute-force
  • /myadmin et variantes phpmyadmin ... PhPMyadmin ... php-my-admin ... /pma
  • /db et variantes /dbadmin ... /admin
  • sans oublier /wp-admin et /wp-login
  • ni non plus les url contenant ../../../ pour essayer de "remonter" dans l'arborescence des fichiers du serveur et, par exemple d'accéder au Graal : le fichier /etc/passwd sur une machine Unix/Linux
  • Assez récemment on a vu apparaître la mode du // en début d'URL, je n'ai trouvé aucune information sur cette particularité.

J'arrête ici cette liste qui pourrait être longue ... mais qui dans beaucoup de cas cherche à exploiter des "erreurs" de configuration ou des imprudences telles que des couples user/mot de passe faibles voire très faibles ou a des valeurs par défaut, qui n'a jamais vu des accès administrateur "protégés" par admin/admin.
Une autre "attaque" mais je n'ai pas réussi à trouver à quel vulnérabilité/logiciel elle était destinée, c'est la réception de deux paquets HTTP sans signification particulière, le premier avec un contenu de 14 octets, le second de 4 octets. Quel esprit vicieux a pu inventer pareil scénario. J'an ai vu passer des dizaines en une semaine, puis, après une accalmie, c'est reparti. 

Nombre IP par pays 11/2017

Nombre IP par pays 11/2017 drupal_admin mer 01/11/2017 - 15:27

Une petite statistique sur l'origine des IP ayant eu au moins un contact d'août 2016 à ce jour (01/11/2017), liste établie sur plus de 410 000 IP différentes. Je précise que Chine,Russie,Vietnam et quelques autres sont impitoyablement rejetés par le pare-feu.

Code Pays Nombre IP
CN Chine 58 542
US États-Unis 53 232
BR Brésil 30 285
VN Viet Nam 23 657
RU Fédération de Russie 19 260
IN Inde 17 449
KR République de Corée 16 207
FR France 15 828
TW Taïwan 13 779
TR Turquie 13 436
MX Mexique 10 925
AR Argentine 9 821
UA Ukraine 8 374
IR République Islamique d\'Iran 6 345
GB Royaume-Uni 6 165
NL Pays-Bas 5 711
RO Roumanie 5 363
DE Allemagne 5 332
CO Colombie 5 276
IT Italie 4 761
IE Irlande 4 315
TH Thaïlande 4 228
PL Pologne 4 209
PK Pakistan 3 515
AU Australie 3 469
ES Espagne 2 749
ID Indonésie 2 617
CA Canada 2 477
CL Chili 2 352
SE Suède 2 146
HK Hong-Kong 2 035
EU EUROPE 1 999
PH Philippines 1 891
JP Japon 1 890
IL Israël 1 736
BG Bulgarie 1 717
MY Malaisie 1 466
EG Égypte 1 458
SG Singapour 1 434
EC Équateur 1 428

Scan de ports

Scan de ports drupal_admin lun 12/02/2018 - 01:05

J'ai décidé de voir un peu quelles informations on peut tirer de l'enregistrement des flux réalisé par NTOPNG dans la base Mysql.
A ce jour un peu plus de 77 millions de rangs dont plus de 42 millions ont une origine externe à mon réseau, plus de 460000 adresses IP différentes figurent dans la base.
Les données prises en compte sont celles qui :
- proviennent d'une adresse extérieure
- utilisent un port < 30000
- n'utilisent pas un port donnant accès à un service web ou mail.
Première recherche :
Pays les plus fréquents.

On remarquera avec intérêt la cinquième place des Seychelles.
Deuxième recherche :
Ports les plus fréquents, sans différence entre UDP et TCP.

La liste complète fait plus de 17000 lignes ...
Le port 23 et son collègue 2323 écrasent nettement tous les autres, les ports 22 et 2222 suivent mais assez loin loin derrière.
Le port 1433 en troisième position indique que certains cherchent encore des machines SqlServer non patchées depuis des années ... quelques autres "services" utilisent aussi ce port dont le vieux W32 Spybot de 2003.
Le port 5060 est celui de SIP, y-en-a-t-il qui veulent téléphoner gratis ?
Les ports 3389 (Terminal Server) et 445 (SMB et certains virus) sont des ports typiquement Windows mais sont loin de présenter des valeurs élevées.

Troisième recherche :
Adresses IP les plus fréquentes.
La mention "BLACK" signale l'appartenance à un certain nombre de "black_lists".

Noter la quatrième place d'une adresse aux Seychelles et le fait que tous les "casse-pieds" ne sont pas répertoriés dans les black lists les plus courantes.
Quatrième recherche.
Comme la troisième en groupant sur le préfixe en /24.

On voit ici que le réseau "77.72.82" (indiqué GB par whois) ne contient pas moins de 17 adresses et a réussi plus de 20000 "hits" au total, j'ai pu remarquer par ailleurs que l'adresse "abuse" de ce réseau ne réponds pas aux messages ce qui garantit la tranquillité des utilisateurs de ces adresses. Ce réseau figure par ailleurs dans toutes les bonnes black lists.
Le réseau 192.101.167 (indiqué CZ par whois) est très en dessous ! A peine 11 adresses et 8300 hits.
Tous les emm... ne sont donc pas forcément basés dans des pays lointains ou disposant de régimes réputé totalitaires.

 

Stat 2019 sur ports

Stat 2019 sur ports drupal_admin mar 30/07/2019 - 22:01

En regardant les rapports sur les nombreux "hits" sur le firewall ou dans les rapports IDS j'ai constaté la recrudescence de certains ports et une diminution pour d'autres. Afin de quantifier un peu cette impression je me suis penché sur les archives de NtopNG. Devant le volume j'ai limité mes ambitions à faire un inventaire des 10 "meilleurs" ports (les plus demandés par les "vilains") sur les six premiers mois de 2019 pour plus ample information.
Bien que je dispose de données archivées depuis mi 2016 j'ai décidé de me limiter au premier semestre 2019 car je réalise ceci sur mon portable (outil de vacances).
Cela représente quand même presque 28 millions de rangs dans la base Mysql. J'ai donc extrait les six mois de janvier à juin 2019 de la base archives et je les ai transférés dans le portable pour exploitation.
J'ai par ailleurs limité la recherche aux adresses IP figurant dans différentes "black lists" ce qui représente quand même environ 135000 "Black" adresses et #170000 hits sur le semestre pour les 10 ports  les plus fréquents ! Ceci parmi les 30000 ports utilisés entre 1 et 32000 les vilains ont de la constance.
Tableau 10 ports les plus fréquentés :

Port NB hits
1900 41 935
23 32 226
445 26 227
8545 11 183
3389 9 513
22 9 352
81 7 024
5060 6 994
1433 6 305
8080 5 851
Total 156 610

Deux graphes représentant l'évolution par semaine sur le premier semestre 2019 :

Graphe à échelle linéaire :
Graphe (echelle linéaire) semaine par semaine

Graphe à échelle logarithmique :
Graphe à échelle logarithique

On constate aisément sur les graphes que le port 1900 bat tous les autres sauf quelques pointes du port 23 qui reste très vaillant ( à la recherche d'objets connectés mal protégés ?).
Le port 445 a subi une inflation importante à partir de début mars et il me semble qu'il reste actuellement très "demandé".
Le port 8545 (lié à des vols sur Ethereum ?) a présenté une pointe d'activité mi février.

Le port 1433 (Lié à Sqlserver) a diminué de manière importante dès début mars et est passé de presque 1000 hits par semaine à moins d'une centaine sur le deuxième trimestre.
Pour les autres ports la demande semble à peu près constante.
Il semble donc y avoir un important effet de "mode" sur certains ports, peut-être la diffusion de failles de sécurité exploitables qui expliqueraient l'engouement des méchants.

Stat 2019 sur ports tableau détaillé

Stat 2019 sur ports tableau détaillé drupal_admin mar 30/07/2019 - 22:21
  « Meilleurs » hits sur premier trimestre 2019
WEEK P1900 P23 P445 P8545 P3389 P22 P81 P5060 P1433 P8080
1 1430 921 533 756 273 381 629 146 684 178
2 1658 1932 640 812 329 300 716 190 819 264
3 1650 1739 694 559 292 324 707 155 857 221
4 1719 1016 695 768 350 344 584 145 921 223
5 1678 1068 660 840 329 396 120 132 815 223
6 1673 1104 553 1226 403 328 106 175 775 232
7 1672 1056 846 799 451 338 217 210 487 231
8 1612 1094 1054 570 362 356 191 177 36 193
9 1665 1015 1214 339 360 454 158 123 38 251
10 1685 1272 1197 182 482 341 145 319 31 263
11 1719 2116 1148 250 314 297 167 313 46 225
12 1700 1250 1216 283 350 315 251 337 55 230
13 1699 1341 1216 342 312 302 151 359 55 211
14 1709 1173 1136 220 341 308 155 287 62 193
15 1680 1149 1098 211 409 369 230 400 76 277
16 1672 1186 1119 228 419 354 118 298 64 246
17 1708 1237 1149 216 409 372 133 324 56 247
18 1728 980 1243 273 406 347 183 345 57 220
19 1676 1300 1233 249 457 377 425 402 53 234
20 1668 1911 1201 282 498 389 335 405 54 253
21 1525 1074 1116 248 488 387 168 409 59 216
22 1400 1416 1048 255 393 304 210 338 49 209
23 1398 1007 1065 284 379 418 195 284 55 209
24 1396 989 1113 309 303 391 252 234 39 183
25 1400 1448 1031 271 322 410 204 243 45 211
26 1415 432 1009 411 82 450 274 244 17 208
TOTAL 41935 32226 26227 11183 9513 9352 7024 6994 6305 5851
  156610                  

Statistique sur les navigateurs

Statistique sur les navigateurs drupal_admin mar 05/12/2017 - 15:31

Usage des navigateurs pour le premier trimestre 2020 :
Camembert sur l'usage des navigateurs

On constate une baisse de Firefox et même de Chrome, le seul en nette hausse est Opera.
Ces valeurs ne correspondent pas aux chiffres généraux et "officiels", les personnes qui fréquentent ce site sont donc une fraction"spéciale" de la population, bien différente de la population générale.

Usage des navigateurs pour l'été 2019 :

Camembert navigateurs été 2019

Usage des navigateurs pour 2018/12 à 2019/03 :
 

Graphique (camembert) des navigateurs en %

Pas beaucoup de changements entre Firefox et Chrome mais un peu plus de détail.

Un beau camembert de l'usage des navigateurs sur ce site du 2017/11/05 au 2017/12/04 :

Camembert % navigateurs

Stat : IP des pirates-old

Stat : IP des pirates-old drupal_admin dim 18/08/2019 - 17:52

Le tableau suivant présente les principaux "nids" de pirates par sous-réseau (/16).
Certains pays ne sont pas présents (pour les IP/32) dans ce tableau car je les élimine impitoyablement dès l'entrée, ce pays sont principalement la Russie, la Chine, le Brésil, quelques pays d'Amérique du sud et quelques pays asiatiques.
 Les adresses IP utilisées proviennent de différentes listes de diffusion d'adresses douteuses plus ma propre liste.

« /8 » « /16 » NB ADDR %
108 62 2 051 3,13
216 151 792 1,21
173 234 770 1,17
54 36 542 ,83
216 152 512 ,78
77 247 426 ,65
107 170 375 ,57
66 249 374 ,57
165 22 348 ,53
178 128 316 ,48
68 183 314 ,48
162 243 314 ,48
206 189 287 ,44
134 209 281 ,43
159 65 281 ,43
128 199 280 ,43
96 47 279 ,43
178 137 277 ,42
139 28 268 ,41
95 141 260 ,40

La colonne "%" représente (le nombre d'adresses présentes / 65536) * 100.
On voir que les trois premières lignes montrent une utilisation de plusieurs % des adresses disponibles pas des "pirates". Le sous-réseau 108.62 est constitué de plus de 4% de "pirates" !
Le tableau est limité aux sous-réseaux ayant plus de 0,4% d'adresses réputées "malignes".

Stats IP des pirates 2020

Stats IP des pirates 2020 drupal_admin sam 12/10/2019 - 17:28

Cette page est destinée à remplacer une page plus ancienne mais reste "en cours de modification" pour cause de manque de temps ... C'est un peu long de manipuler de gros paquets de données pour en extraire des données intéressantes/amusantes. 

Je me suis amusé à faire un petit comptage sur les adresses IP de "pirates" que j'ai détectés (scan de ports ou attaques WEB essentiellement). Il s'avère que certains sous-réseaux sont littéralement bourrés de ces individus.

Je me suis limité à compter sur les /24 le nombre d'adresses et le pourcentage que cela représente de ce sous-réseau ...
Note : certains pays sont éliminés d'office dans ce tableau : Chine, Russie, Brésil .... et je vais ajouter le pays dans le tableau.
Et voici les résultats, les 20 premiers sont :

Réseau /24 Nombre %
71.6.234.0 123 48,05 %
71.6.233.0 123 48,05 %
162.243.129.0 108 42,19 %
162.243.145.0 103 40,23 %
198.108.67.0 96 37,50 %
192.35.169.0 96 37,50 %
162.243.139.0 91 35,55 %
192.241.239.0 88 34,38 %
162.243.130.0 88 34,38 %
162.243.138.0 83 32,42 %
192.241.238.0 79 30,86 %
162.243.137.0 78 30,47 %
162.243.131.0 77 30,08 %
162.243.136.0 77 30,08 %
159.203.200.0 77 30,08 %
162.243.132.0 75 29,30 %
162.243.144.0 72 28,13 %
159.203.199.0 68 26,56 %
162.243.133.0 65 25,39 %
192.241.225.0 64 25,00 %

Il semble donc que certains FAI ne sont pas très "regardants".
Je n'ai pas osé mettre le nom des FAI ou entreprises car à part deux sociétés spécialisées dans le domaine des statistiques sur Internet les 18 autres proviennent du même FAI, d'ailleurs un des plus importants (le plus important ?) du monde.
Accès à la page "ancienne".

Statistiques : port 23 sur 16 mois

Statistiques : port 23 sur 16 mois drupal_admin mer 29/03/2017 - 22:20

La "folie" du port 23 dure encore et toujours, la preuve ce graphe par date des "hits" sur les ports 23 et 2323 depuis le 2 août 2016 jusqu'au 1er novembre 2017.. Une remontée visible sur fin octobre 2017 est visible, se confirmera-t-elle ?

Graphique hits sur port 23 et 2323 de 2016/08/02 à 2017/03/28

Il semble néanmoins que la période de folie de fin 2016 soit légèrement passée, la baisse fin janvier/début février est due à un défaut d'enregistrement, comme celle de mi-septembre correspondant à des vacances en des lieux assez éloignés.
Ces chiffres sont obtenus à partir des données enregistrées par
NtopNG et concernent actuellement près de 340 000 adresses IP différentes et plus de 45 millions d'événements réseau. Oui la base commence à gonfler sérieusement et je ne fais plus ces statistiques sur la machine de "production".

Par pays (limité aux 25 "premiers") on voit que la Chine et le Brésil on nettement dépassé le Viet Nam depuis les résultats précédents, l'Inde effectue une belle remontée. En bas de peloton (non visible ici) on trouve Nauru, Anguilla et le Lesotho avec une IP et un paquet chacun.

Statistique par pays (limité au 25 principaux)

 

Scripts amusants

Scripts amusants drupal_admin mer 10/08/2016 - 22:37

Je me suis aperçu que depuis quelques temps beaucoup de tentatives de connexion (par exemple sur le port 23) étaient originaires du Vietnam.
Sur mon pare-feu f'ai la possibilité de "bloquer" les IP d'un pays entier et le Vietnam a rejoint la Russie et la Chine dans la liste des pays bloqués.
J'ai voulu établir un petit palmarès des IP ayant tenté au moins une connexion, Ces adresses IP sont enregistrées par Ntop et un petit script personnel stocke les IP enrichies dans une table spécifique.
J'ai créé une table des pays "bloqués" au niveau du parefeu :

create table PAYS_BLOQUE
(CODPAYS        char(2)
)
engine MyISAM;
insert into PAYS_BLOQUE (CODPAYS) values ('CN');
insert into PAYS_BLOQUE (CODPAYS) values ('RU');
insert into PAYS_BLOQUE (CODPAYS) values ('VN');;
insert into PAYS_BLOQUE (CODPAYS) values ('HK');
insert into PAYS_BLOQUE (CODPAYS) values ('BR');
commit;

En combinant cette "nouvelle" table avec la table "IPV4_DOMAINE" par un ordre SQL amusant :

select xx.CODPAYS,xx.CTR,
        (case pb.CODPAYS
        when pb.CODPAYS is null  then    'BLOQUE'
        else '' end) BLOQUE
from
    (select CODPAYS,COUNT(*) CTR
    from IPV4_DOMAINE
    group by 1
    ) xx
left join PAYS_BLOQUE pb on (xx.CODPAYS = pb.CODPAYS )    
where xx.CTR > 150
order by 2 desc ;

on obtient le palmarès suivant :

+---------+------------------------+------+--------+
| CODPAYS | FR_NOM                 | CTR  | BLOQUE |
+---------+------------------------+------+--------+
| US      | États-Unis             | 2757 |        |
| CN      | Chine                  | 1317 | BLOQUE |
| VN      | Viet Nam               | 1279 | BLOQUE |
| BR      | Brésil                 | 1093 | BLOQUE |
| FR      | France                 |  828 |        |
| KR      | République de Corée    |  590 |        |
| TW      | Taïwan                 |  562 |        |
| RU      | Fédération de Russie   |  558 | BLOQUE |
| IN      | Inde                   |  434 |        |
| TR      | Turquie                |  321 |        |
| NL      | Pays-Bas               |  266 |        |
| CO      | Colombie               |  236 |        |
| RO      | Roumanie               |  223 |        |
| DE      | Allemagne              |  211 |        |
| PH      | Philippines            |  166 |        |
+---------+------------------------+------+--------+
15 rows in set, 4 warnings (1,93 sec)

Les pays bloqués sont parmi les leaders en nombre d'IP ayant tenté d'établir des connexions.
Plus de 1300 adresses chinoises , presque 1300 adresses vietnamiennes et plus de 1000 adresses brésiliennes ont tenté de se connecter et ont été rejetées par le parefeu.
J'ai controlé par ailleurs qu'aucune adresse de ces pays n'avait recu un octet en retour (sum(OUT_BYTES)) reste à zéro. On voit aussi dans ce tableau que les russes sont en baisse, ils se consacrent probablement à des activités plus "rentables" que de tenter de pénétrer les machines des autres.
Les brésiliens, comme les vietnamiens sont relativement nouveaux mais arrivent fort eux aussi.

Pour s'amuser un peu plus et voir quels ports sont les plus utilisés voir ici.
J'ai utilisé ici encore une nouvelle table pour avoir les noms des pays en clair :

desc PAYS;
+-----------+-------------+------+-----+---------+-------+
| Field     | Type        | Null | Key | Default | Extra |
+-----------+-------------+------+-----+---------+-------+
| CODPAYS   | char(2)     | NO   | PRI |         |       |
| CODPAYS_3 | char(3)     | YES  |     | NULL    |       |
| ENG_NAME  | varchar(40) | YES  |     | NULL    |       |
| FR_NOM    | varchar(40) | YES  |     | NULL    |       |
+-----------+-------------+------+-----+---------+-------+

Cette table ("dump" Mysql) est disponible ici en téléchargement.