En regardant les rapports sur les nombreux "hits" sur le firewall ou dans les rapports IDS j'ai constaté la recrudescence de certains ports et une diminution pour d'autres. Afin de quantifier un peu cette impression je me suis penché sur les archives de NtopNG. Devant le volume j'ai limité mes ambitions à faire un inventaire des 10 "meilleurs" ports (les plus demandés par les "vilains") sur les six premiers mois de 2019 pour plus ample information.
Bien que je dispose de données archivées depuis mi 2016 j'ai décidé de me limiter au premier semestre 2019 car je réalise ceci sur mon portable (outil de vacances).
Cela représente quand même presque 28 millions de rangs dans la base Mysql. J'ai donc extrait les six mois de janvier à juin 2019 de la base archives et je les ai transférés dans le portable pour exploitation.
J'ai par ailleurs limité la recherche aux adresses IP figurant dans différentes "black lists" ce qui représente quand même environ 135000 "Black" adresses et #170000 hits sur le semestre pour les 10 ports les plus fréquents ! Ceci parmi les 30000 ports utilisés entre 1 et 32000 les vilains ont de la constance.
Tableau des 10 ports les plus fréquentés :
Port | NB hits |
1900 | 41 935 |
23 | 32 226 |
445 | 26 227 |
8545 | 11 183 |
3389 | 9 513 |
22 | 9 352 |
81 | 7 024 |
5060 | 6 994 |
1433 | 6 305 |
8080 | 5 851 |
Total | 156 610 |
Deux graphes représentant l'évolution par semaine sur le premier semestre 2019 :
Graphe à échelle linéaire :
Graphe à échelle logarithmique :
On constate aisément sur les graphes que le port 1900 bat tous les autres sauf quelques pointes du port 23 qui reste très vaillant ( à la recherche d'objets connectés mal protégés ?).
Le port 445 a subi une inflation importante à partir de début mars et il me semble qu'il reste actuellement très "demandé".
Le port 8545 (lié à des vols sur Ethereum ?) a présenté une pointe d'activité à la mi-février.
Le port 1433 (Lié à Sqlserver) a diminué de manière importante dès début mars et est passé de presque 1000 hits par semaine à moins d'une centaine sur le deuxième trimestre.
Pour les autres ports la demande semble à peu près constante.
Il semble donc y avoir un important effet de "mode" sur certains ports, peut-être la diffusion de failles de sécurité exploitables qui expliqueraient l'engouement des méchants pour ces ports.