- Das cerca de 2,67 milhões de IPs únicos coletados pelo honeypot Anubis na Sourceware, 89,3% não estavam em listas de ameaças existentes, o que torna difícil identificar a maior parte da atividade de scrapers usando apenas listas de bloqueio conhecidas
- Ao inserir HTML semanticamente inválido e um link “Don't click me” na página de desafio, scrapers mal implementados que seguem esse link são conduzidos a conteúdo sem sentido e a links adicionais
- Entre 2.678.193 IPs únicos, 286.161 endereços (10,7%) estavam cadastrados no banco de dados; desses, 98,6% estavam na categoria abuse, e o tráfego total se espalhava por 229 países e 21.116 ASNs
- Há a possibilidade de que o tráfego venha de eletrodomésticos inteligentes infectados que participam de redes de proxy, mas os dados coletados por si só não comprovam o tipo real de dispositivo nem se ele está infectado
- Para lidar com scraping que não se limita a um país ou rede específica, é necessário um firewall de aplicação web como o Anubis; uma solução fundamental exige uma resposta global coordenada simultaneamente
Scrapers que as listas de ameaças existentes deixam passar
- No processo de construção do Anubis reputation database, 80 a 90% dos acessos registrados pelo recurso de honeypot vieram de IPs que não estavam em listas existentes de monitoramento de ameaças
- Os dados coletados pela Sourceware nos últimos meses incluem 2.678.193 IPs únicos
- Não há itens não IP nem endereços excluídos por duplicidade
- Os endereços cadastrados no banco de dados são 286.161, ou 10,7% do total
- Os endereços não cadastrados são 2.392.032, ou 89,3% do total
- A tabela completa de entrada pode ser consultada em Appendix A: Full tables for the reputation database input
Classificação e provedores dos IPs cadastrados
- Entre os endereços cadastrados no banco de dados, a categoria abuse representa 282.182 endereços, ou 98,6%
- datacenter: 7.918 (2,8%)
- proxy: 2.562 (0,9%)
- vpn: 1.264 (0,4%)
- crawler: 46
- tor: 17
- Por flags separadas, a contagem foi de
is_datacenter7.918,is_proxy2.562,is_vpn1.264 eis_crawler46 - Havia 126 provedores, e a netshield tinha a maior participação, com 237.945 endereços (83,2%)
- bitwire 96.539 (33,7%), magicteamc 26.475 (9,3%), ipinsights 17.378 (6,1%), threathive 8.422 (2,9%)
- Além disso, estão incluídos netmountains, multacom, fyvri, cbuijs, x4bnet, solispirit, dailyproxy, blackwall, hproxy, Scaleway, AWS, Alibaba Cloud, OVHcloud, entre outros
- Como várias categorias ou informações de provedor podem se aplicar a um mesmo IP, a soma dos percentuais ultrapassa 100%
Distribuição por países e redes
- Os endereços totais foram observados em 229 países, portanto não se limitam a uma região específica
- Em número de endereços, os maiores volumes foram Brasil 270.937, Índia 185.091, Arábia Saudita 120.372, México 95.449 e Turquia 87.258
- As taxas de cadastro no banco de dados foram Bangladesh 29,9%, Ucrânia 27,6%, Iraque 21,9%, Venezuela 21,3%, Paquistão 20,0%, entre outras
- Nos Estados Unidos, 3.347 de 40.828 endereços estavam cadastrados, uma taxa de 8,2%
- Considerando que há 249 países incluídos na ISO 3166-1, dos quais 193 são Estados-membros da ONU, a atividade de scrapers está espalhada pelo mundo todo
- Os endereços estão distribuídos por 21.116 ASNs
- No AS55836 Reliance Jio Infocomm Limited, 1.749 de 57.029 endereços estavam cadastrados, ou 3,1%
- No AS45899 VNPT Corp, 6.831 de 56.910, ou 12,0%
- No AS14593 Space Exploration Technologies Corporation, 4.597 de 31.569, ou 14,6%
- No AS9541 Cyber Internet Services, 3.696 de 21.386, ou 17,3%
- Na tabela, os outros 18.069 ASNs foram omitidos
Como o honeypot Anubis prende scrapers
- Para medir a extensão da disseminação do problema dos scrapers, o Anubis insere o seguinte HTML semanticamente inválido em todas as páginas de desafio
/init">Don't click me
- É um link que deve ser ignorado em um processamento normal, mas, se ele for seguido, é retornado um conteúdo de baixo custo de geração e sem informação prática
- O conteúdo retornado inclui novamente dois links que levam a outras páginas
- Essa estrutura foi projetada para conduzir scrapers mal escritos para dentro do honeypot, em vez do site protegido, ao mesmo tempo em que mede a escala do problema
Possibilidade de infecção em eletrodomésticos inteligentes e limites da resposta
- Uma parte significativa do tráfego observado pode vir de eletrodomésticos inteligentes infectados que fornecem tráfego a redes de proxy
- No entanto, isso permanece uma suposição, e os dados coletados não comprovam diretamente o tipo real de dispositivo nem se há infecção em cada IP individual
- Para causar impacto real sobre um problema distribuído por países e ASNs, é necessária uma resposta global coordenada simultaneamente
- Como a escala do scraping é ampla o suficiente, é necessário operar um firewall de aplicação web como o Anubis
- Como fatos e circunstâncias podem ter mudado após a publicação, pontos ambíguos ou incorretos devem ser verificados antes de tirar conclusões precipitadas
1 comentários
Comentários no Lobste.rs
script type=ignoreé uma sacada engenhosa. Tanto ferramentas como o elinks quanto o Chrome headless usado por scrapers ignoram isso completamente, mas o conteúdo em si pode ser enviado para a base e adicionado à fila de tarefasGostaria especialmente de saber mais sobre como detectar se um dispositivo infectado está se comunicando com um servidor de comando e controle (C&C)
Talvez dê para usar como critério o volume total de tráfego ou o número de IPs de destino diferentes acessados
abuseabuseneste arquivo: https://github.com/TecharoHQ/reputationdb/…