Scan de ports

Soumis par drupal_admin le lun 12/02/2018 - 01:05

J'ai décidé de voir un peu quelles informations on peut tirer de l'enregistrement des flux réalisé par NTOPNG dans la base Mysql.
A ce jour un peu plus de 77 millions de rangs dont plus de 42 millions ont une origine externe à mon réseau, plus de 460000 adresses IP différentes figurent dans la base.
Les données prises en compte sont celles qui :
- proviennent d'une adresse extérieure
- utilisent un port < 30000
- n'utilisent pas un port donnant accès à un service web ou mail.
Première recherche :
Pays les plus fréquents.

On remarquera avec intérêt la cinquième place des Seychelles.
Deuxième recherche :
Ports les plus fréquents, sans différence entre UDP et TCP.

La liste complète fait plus de 17000 lignes ...
Le port 23 et son collègue 2323 écrasent nettement tous les autres, les ports 22 et 2222 suivent mais assez loin loin derrière.
Le port 1433 en troisième position indique que certains cherchent encore des machines SqlServer non patchées depuis des années ... quelques autres "services" utilisent aussi ce port dont le vieux W32 Spybot de 2003.
Le port 5060 est celui de SIP, y-en-a-t-il qui veulent téléphoner gratis ?
Les ports 3389 (Terminal Server) et 445 (SMB et certains virus) sont des ports typiquement Windows mais sont loin de présenter des valeurs élevées.

Troisième recherche :
Adresses IP les plus fréquentes.
La mention "BLACK" signale l'appartenance à un certain nombre de "black_lists".

Noter la quatrième place d'une adresse aux Seychelles et le fait que tous les "casse-pieds" ne sont pas répertoriés dans les black lists les plus courantes.
Quatrième recherche.
Comme la troisième en groupant sur le préfixe en /24.

On voit ici que le réseau "77.72.82" (indiqué GB par whois) ne contient pas moins de 17 adresses et a réussi plus de 20000 "hits" au total, j'ai pu remarquer par ailleurs que l'adresse "abuse" de ce réseau ne réponds pas aux messages ce qui garantit la tranquillité des utilisateurs de ces adresses. Ce réseau figure par ailleurs dans toutes les bonnes black lists.
Le réseau 192.101.167 (indiqué CZ par whois) est très en dessous ! A peine 11 adresses et 8300 hits.
Tous les emm... ne sont donc pas forcément basés dans des pays lointains ou disposant de régimes réputé totalitaires.