Honeygraph Teil 1

So, wie versprochen gibt es heute mal ein paar Graphen zum Honeypot.

Wie ich schon öfter beschrieben habe verwende ich auf diversen Rechnern kippo, einen SSH Honeypot. Nachdem ich das Ding jetzt ein Jahr lang betrieben habe ist es Zeit für eine kurze Bilanz.

Das Strato als Hoster quasi alle meine Statistiken aus dem Honeypot anführt habe ich ja bereits im letzten Artikel erwähnt. Ich führe das mal darauf zurück das der Honeypot von dem ich die aktuelle Auswertung gemacht habe ebenfalls dort steht.

Hier nochmal die Karte:

Honeypotauswertung nach IP Adressen (nicht Zugriffen)

Soweit so gut, jetzt will man natürlich auch mal wissen wie viele böse Buben sich Monatlich so auf meinem Honeypot herumtreiben.

Balkendiagramm IPs*Monat

Wir sehen bis auf den Ausreißer im März hält sich das ganze sehr stabil. Was die schwankung im März verursacht hat ist mir noch nicht so ganz klar aber sehen wir mal weiter.

Für diejenigen die mehr auf Graphen als auf Säulen stehen gibt es das ganze natürlich auch als Graph.

linegraph IP * Month

Also wir stellen mal fest das jeden Monat zwischen 30 und 50 Leute versuchen sich Zutritt auf meinen Server zu verschaffen. Eigentlich ziemlich wenig, ich führe das mal auf die installierte Portscandetection zurück. Durch dieses kleine Feature das ich auf dem Server installiert habe dürfte einiges aus der Auswertung rausfallen.

Halten wir fest: Wir sehen hier im Graph nur die Angreifer die sich ohne vorhergehenden Portscan direkt mit meinem SSH Server verbinden.

Jetzt wollen wir uns natürlich auch ein Bild darüber machen wieviele versuche denn von den 30-50 IPs so gemacht werden.

Linegraph Zugriffe*Monat

Wow, wie wir sehen können schwanken die Zugriffszahlen dann doch etwas deutlicher. Die spitze im Februar wurde übrigens von einer einzigen IP ausgelöst. Irgendwie muss ich im Februar jemanden mit Zugriff auf iranische Server etwas stärker verärgert haben 😉 Aber im allgemeinen schiebe ich mal diese großen Schwankungen bei den Zugriffen einfach darauf das sich heutzutage einfach immer seltener gute Wordlists finden.

Als Balkendiagramm sieht das dann übrigens so aus:

Balkendiagramm Zugriffe * Monat

Zum Schluss natürlich noch der wichtigste Teil. Wie viele haben es in den Honeypot geschafft?

Balkendiagramm richtig erratene Passwörter

Wir sehen hier ziemlich deutlich 2 Dinge. Zum einen mehr Zugriffe != mehr Logins und vor allem wenn ich diesen Graph mit den Verbundenen IP Adressen vergleiche sieht man schnell das sich hier Leute auch mehrfach einloggen.  Genauer werde ich darauf beim nächsten mal eingehen wenn ich die Auswertung auf die einzelnen Monate runterbreche. Aber zum Abschluß nochmal ein toller Graph.

Linegraph richtig erratene Passwörter pro Monat

Tagged , , , . Bookmark the permalink.

About Brechthold

Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

3 Responses to Honeygraph Teil 1

  1. Pingback: HoneypotTV » Brechtblog

  2. Pingback: HoneypotTV » Brechtholds Blog

  3. Pingback: Private Honeypots » Brechtholds Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.