De gros scanneurs

De gros scanneurs jpp mer 10/08/2022 - 00:17

Je conserve les traces (voir NTOPNG) de toutes les connexions et je me suis demandé quelles étaient les caractéristiques de  ceux qui passant leur vie à scanner le web.
J'ai donc fait un extrait les données : nombre de hits; nombre de ports différents, date du premier hit et date du dernier hit pour les entrées n'ayant pas donné lieu à réponse (port fermé).
Le résultat est comporte quelques chiffres surprenants :

  • Le plus "gros" scanneur a déclenché plus de 80000 hits sur 64408 ports en 25 jours soit une moyenne de 2576 ports par jour....
  • Un autre a scanné 65235 ports (tiens il en a oublié quelques-uns ?) en six jours seulement avec une moyenne de plus de 10000 ports par jour soit environ un port toutes les 7 secondes !
  • Un autre a "étalé" 31960 hits concernant 1092 ports sur 1406 jours  soit presque 4 ans soit une moyenne de 22 ports par jour seulement !
  • 36 adresses IP différentes on réalisé plus de 20000 hits

Voici le tableau correspondant :

Les plus gros scanneurs rencontrés sur 4 ans
IP Nombre de hits Nombre de ports Début Fin Nombre de jours
45.143.220.101 80 996 64 408 2020/03/22 22:03:49 2020/04/17 02:04:24 25
92.63.197.23 65 295 65 295 2021/09/17 22:09:39 2021/09/24 05:09:53 6
45.143.200.34 46 036 25 699 2021/04/09 23:04:37 2022/02/10 21:02:53 306
173.231.60.195 44 355 2 2021/12/09 06:12:06 2022/03/09 13:03:02 90
92.63.197.108 38 179 32 243 2021/08/22 13:08:04 2021/11/25 04:11:09 94
146.88.240.4 36 361 63 2019/04/11 04:04:05 2022/07/30 16:07:15 1206
92.63.197.112 36 060 32 081 2021/08/22 13:08:51 2021/11/25 10:11:34 94
92.63.197.110 35 671 29 999 2021/08/22 13:08:24 2022/07/10 12:07:55 321
212.70.149.69 35 319 1 2020/10/19 04:10:22 2020/12/18 12:12:19 60
10.128.175.2 33 844 1 2018/06/02 05:06:16 2020/07/01 12:07:01 760
176.113.115.246 33 618 32 906 2020/01/29 09:01:25 2020/05/09 20:05:01 101
212.70.149.68 32 400 1 2020/08/21 04:08:36 2020/10/16 20:10:35 56
185.176.27.2 32 322 22 565 2018/12/06 17:12:49 2020/08/12 23:08:46 615
92.154.95.236 31 960 1 092 2017/12/07 23:12:08 2021/12/13 13:12:54 1466
185.156.73.107 31 625 25 338 2021/06/19 09:06:14 2022/02/13 12:02:53 239
195.54.166.93 31 183 29 850 2020/01/15 21:01:51 2020/02/17 05:02:35 32
185.156.73.91 30 461 20 471 2020/10/04 03:10:37 2022/07/30 17:07:51 664
51.68.126.248 30 228 4 2020/02/25 22:02:19 2020/04/06 01:04:36 40
92.63.197.105 29 300 16 042 2021/05/16 17:05:56 2021/12/07 23:12:30 205
92.118.37.81 28 690 28 554 2019/03/15 01:03:36 2019/07/08 16:07:00 115
185.156.73.57 28 501 22 609 2019/12/19 17:12:39 2022/07/30 17:07:40 954
45.146.164.198 27 464 23 165 2021/03/16 00:03:47 2022/01/12 17:01:44 302
37.49.231.66 26 352 26 219 2018/08/03 19:08:24 2019/01/25 08:01:41 174
80.82.77.218 26 196 24 121 2020/03/17 01:03:40 2020/07/14 07:07:39 119
195.54.161.151 25 886 24 790 2021/02/06 14:02:56 2021/06/01 11:06:17 114
92.63.197.88 24 561 20 961 2020/05/29 12:05:49 2022/02/21 20:02:47 633
185.156.73.12 24 163 19 315 2021/01/30 22:01:59 2022/05/12 15:05:53 466
94.102.56.252 22 788 12 892 2018/09/07 15:09:40 2019/08/10 15:08:59 336
185.175.93.105 22 549 18 079 2019/07/15 11:07:55 2020/04/16 02:04:10 275
185.176.27.18 21 883 19 712 2019/06/04 19:06:24 2020/03/27 15:03:34 296
194.26.29.227 21 677 19 684 2020/04/23 21:04:52 2020/08/03 12:08:58 101
91.121.176.95 21 594 2 2016/08/03 07:08:04 2019/03/02 14:03:07 941
185.176.27.170 21 126 19 850 2019/03/10 13:03:32 2020/05/09 19:05:20 426
185.176.27.246 20 786 18 049 2018/12/28 12:12:28 2020/07/20 09:07:13 569
85.209.0.11 20 602 20 602 2019/07/02 11:07:22 2019/12/13 22:12:15 164
45.129.33.50 20 243 16 040 2020/08/08 21:08:59 2020/12/31 22:12:35 145
94.102.56.235 20 011 14 196 2018/05/29 17:05:10 2019/08/06 08:08:22 433

En prime l'ordre SQL pour la présentation des données, les 20 plus gros ont été extraits dans la table utilisée ici :

SELECT IP_V4, CTR, NBPORTS, DATE_FORMAT(FROM_UNIXTIME(DEBUT),"%Y/%m/%d %H:%m:%S") as DATE_DEB,
       DATE_FORMAT(FROM_UNIXTIME(FIN),"%Y/%m/%d %H:%m:%S") as DATE_FIN,
       TIMESTAMPDIFF(DAY,FROM_UNIXTIME(DEBUT),FROM_UNIXTIME(FIN)) as NBJOURS
FROM ntopng.GROS_SCANNEUR
order by CTR desc;

Avec MariaDB cet ordre a été exécuté en environ 28 minutes.