242 тысячи IP-адресов за неделю — и почти все пустышки. Как «призрачный флот» заставил админов понервничать зря
NewsMakerАналитики обнаружили пугающую закономерность в работе удалённых узлов.
Недавно в телеметрии GreyNoise всплыл весьма необычный перекос: почти половина всех новых IP-адресов, замеченных в массовом сканировании, оказалась привязана к Гонконгу. На первый взгляд, картина выглядела как резкий всплеск активности, но при разборе выяснилось, что за громкими цифрами скрывалась в основном пустота. Подавляющее большинство адресов так и не подтвердило собственное существование полноценным сетевым соединением.
По данным GreyNoise, с 12 по 18 марта система зафиксировала 242 666 новых сканирующих IP-адресов , геолокация которых указывала на Гонконг. Почти 99,7% такого массива не завершили даже базового TCP-соединения. Компания называет подобные адреса «призрачным флотом»: трафик оставил след в наблюдениях, но не позволил подтвердить, что пакеты действительно пришли именно с этих источников. Полезной нагрузки не было, попыток эксплуатации не было, сигнатуры атак не срабатывали.
Главный риск GreyNoise видит не в самом факте появления такого массива, а в том, как подобный шум может исказить системы обнаружения. Если защитные платформы не отделяют неподтверждённые адреса от реальных сканеров, в наборы данных попадают сотни тысяч сомнительных IP-адресов. На таком фоне куда проще пропустить действительно опасную активность.
Самый крупный вклад в «призрачный флот» внёс GNET INC. с 143 340 новыми адресами, но ни один из них GreyNoise не отнёс к вредоносным. Почти весь трафик от GNET INC. ограничился незавершёнными соединениями. Похожую картину компания увидела и у ряда других провайдеров из того же кластера.
Недавно в телеметрии GreyNoise всплыл весьма необычный перекос: почти половина всех новых IP-адресов, замеченных в массовом сканировании, оказалась привязана к Гонконгу. На первый взгляд, картина выглядела как резкий всплеск активности, но при разборе выяснилось, что за громкими цифрами скрывалась в основном пустота. Подавляющее большинство адресов так и не подтвердило собственное существование полноценным сетевым соединением.
По данным GreyNoise, с 12 по 18 марта система зафиксировала 242 666 новых сканирующих IP-адресов , геолокация которых указывала на Гонконг. Почти 99,7% такого массива не завершили даже базового TCP-соединения. Компания называет подобные адреса «призрачным флотом»: трафик оставил след в наблюдениях, но не позволил подтвердить, что пакеты действительно пришли именно с этих источников. Полезной нагрузки не было, попыток эксплуатации не было, сигнатуры атак не срабатывали.
Главный риск GreyNoise видит не в самом факте появления такого массива, а в том, как подобный шум может исказить системы обнаружения. Если защитные платформы не отделяют неподтверждённые адреса от реальных сканеров, в наборы данных попадают сотни тысяч сомнительных IP-адресов. На таком фоне куда проще пропустить действительно опасную активность.
Самый крупный вклад в «призрачный флот» внёс GNET INC. с 143 340 новыми адресами, но ни один из них GreyNoise не отнёс к вредоносным. Почти весь трафик от GNET INC. ограничился незавершёнными соединениями. Похожую картину компания увидела и у ряда других провайдеров из того же кластера.