Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

English

Você está em: CERT.br > Estatísticas > Honeypots

• Sobre o CERT.br
• CSIRTs
• Estatísticas
  • - Incidentes
  • - Amplificadores
  • - DNS Malicioso
  • - Honeypots
  • - Spam
• Cursos
• Projetos
• Publicações
• Palestras
• Links
• FAQ
• Mapa do site
• Contato
• Twitter
• RSS

Busca
Selecione o site Buscar em CGI.br Buscar em NIC.br Buscar em Registro.br Buscar em CERT.br Buscar em CETIC.br Buscar em CEPTRO.br Buscar em W3C.br

|
Acessibilidade do site

Estatísticas dos ataques mais frequentes contra os honeypots mantidos pelo CERT.br

| 2020 | 2019 | 2018 |

Fonte dos dados

O CERT.br mantém o Projeto Honeypots Distribuídos, uma rede distribuída de honeypots de baixa interatividade em endereços IP da Internet no Brasil. Este projeto tem o objetivo de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no Brasil.

Abaixo são apresentados alguns destaques das atividades registradas.

Além dos destaques desta página, também estão disponíveis outras estatísticas públicas:

• gráficos dos fluxos de rede do tráfego direcionado a todos os honeypots nas últimas 24 horas;
• gráficos diários dos fluxos de rede do tráfego direcionado a todos os honeypots, dados desde 01/01/2017.

2020 – Portas TCP que mais sofreram varreduras

A Tabela a seguir contém as 20 portas TCP que mais receberam tráfego em 2020.

Cabe destacar alguns pontos interessantes nestes dados:

• As varreduras pelas portas TCP 23, 22, 81, 5555, 8000 e 8080 estão todas relacionadas com atividade de propagação de botnets de IoT, como a Mirai e suas variantes e a Bashlite e suas variantes. Os ataques nestas portas são tentativas de força bruta de credenciais ou tentativas de explorar vulnerabilidades nas interfaces de gerência de roteadores de banda larga ou de Wi-Fi.
• As portas que mais tiveram aumento de varreduras de 2019 para 2020 foram, na ordem de variação: 3389/TCP 118%; 21/TCP 101%; 1433/TCP 85%; e 23/TCP 65%.
• Como pode ser visto no gráfico que segue a Tabela, as varreduras pela porta de RDP (3389/TCP) continuaram com volume considerável durante todo o ano, tendo crescido 118% de 2019 para 2020. Também cabe destacar que as varredras pela porta SMB (445/TCP) aumentaram 11% de 2019 para 2020, tendo um pico no segundo semestre.
• Outro fato interessante é a continuidade da procura por serviços relacionados com e-mail, mais notadamente as portas POP3 (110/TCP), SMTPS (465/TCP). Este comportamento pode ser relacionado com o aumento de força bruta em serviços de e-mail que temos visto nas notificações de incidentes de segurança recebidas pelo CERT.br.

20 Portas TCP que mais sofreram varreduras em 2020 Ordenadas por número de pacotes
#	Porta TCP	Pacotes	Bytes	Flows	IPs	Top 5 Country Codes (número de IPs de origem do tráfego)
01	23/tcp	66,8 G	3,3 TB	3,2 G	10.208.836	EG	(2.592.991)	CN	(1.424.832)	BR	(1.105.514)	IN	(618.073)	IR	(606.221)
02	445/tcp	1,9 G	112,7 GB	1,1 G	6.477.479	VN	(1.058.334)	IN	(878.489)	ID	(765.293)	VE	(495.822)	TH	(490.097)
03	22/tcp	1,7 G	144,9 GB	391,2 M	1.209.250	BR	(482.378)	US	(141.659)	CN	(102.334)	VN	(61.318)	DE	(35.325)
04	3389/tcp	923,0 M	44,6 GB	289,6 M	252.826	CN	(178.057)	US	(17.826)	BR	(6.098)	IN	(3.941)	RU	(3.932)
05	80/tcp	539,8 M	30,1 GB	369,1 M	4.782.883	BR	(788.753)	CN	(708.308)	IR	(473.536)	IN	(300.151)	US	(292.071)
06	1433/tcp	365,8 M	15,3 GB	316,0 M	503.062	CN	(198.959)	VE	(45.886)	BR	(27.879)	IN	(23.021)	VN	(21.941)
07	443/tcp	189,5 M	8,3 GB	137,8 M	408.571	US	(186.095)	SA	(39.340)	CN	(31.104)	GB	(14.957)	DE	(10.664)
08	8080/tcp	157,0 M	8,1 GB	108,4 M	4.043.618	BR	(820.577)	CN	(596.734)	IR	(546.946)	IN	(267.721)	RU	(189.582)
09	21/tcp	119,8 M	4,6 GB	52,7 M	198.651	IN	(51.029)	US	(25.626)	PK	(22.937)	CN	(16.221)	RU	(13.238)
10	110/tcp	95,5 M	4,1 GB	22,6 M	11.864	US	(6.412)	DE	(1.283)	CN	(594)	SG	(400)	NL	(384)
11	81/tcp	93,7 M	3,6 GB	88,6 M	1.378.260	CN	(237.121)	VN	(179.178)	BR	(125.162)	IN	(116.952)	MX	(66.778)
12	5555/tcp	76,7 M	3,0 GB	72,5 M	1.427.822	CN	(413.419)	HK	(150.652)	TW	(116.706)	BR	(86.758)	IN	(81.662)
13	8291/tcp	69,9 M	3,0 GB	67,3 M	139.736	VN	(31.648)	IN	(17.687)	ID	(14.076)	BR	(13.892)	TH	(13.772)
14	8545/tcp	64,8 M	2,4 GB	64,5 M	2.334	US	(826)	CN	(411)	SG	(373)	GB	(130)	RU	(122)
15	5900/tcp	59,1 M	2,7 GB	27,3 M	324.471	IN	(46.691)	KZ	(30.204)	IR	(28.769)	UZ	(17.186)	MX	(16.126)
16	8000/tcp	43,8 M	2,3 GB	27,5 M	430.625	VN	(58.637)	MX	(44.691)	MY	(35.674)	TW	(28.020)	CN	(27.991)
17	139/tcp	43,7 M	2,2 GB	23,1 M	56.907	CN	(8.544)	US	(6.949)	VN	(5.341)	ID	(5.247)	VE	(4.170)
18	465/tcp	43,5 M	1,8 GB	31,9 M	28.928	US	(15.963)	CA	(1.834)	FR	(1.600)	GB	(1.521)	DE	(1.336)
19	5038/tcp	42,5 M	1,6 GB	28,8 M	3.530	US	(842)	PS	(804)	SG	(363)	NL	(179)	FR	(174)
20	6379/tcp	37,5 M	1,7 GB	33,7 M	46.777	CN	(24.302)	US	(10.928)	DE	(1.750)	SG	(780)	VN	(760)

topo

2020 – Portas UDP que mais sofreram varreduras

A Tabela a seguir contém as 20 portas UDP que mais receberam tráfego em 2020.

Cabe destacar alguns pontos interessantes nestes dados:

• A porta UDP com mais varreduras continua sendo a 5060/UDP. Esta atividade está relacionada com o abuso de servidores SIP para realização de ligações de longa distância. Uma análise detalhada deste tipo de abuso pode ser encontrada neste artigo, de autoria de analistas do CERT.br: Anatomy of SIP Attacks, publicado na revista Usenix ;login:.
• Outro ponto que chama a atenção é a continuidade das varreduras a procura de serviços passíveis de serem abusados para amplificação de tráfego. Das top 20 portas, 17 são de serviços que permitem amplificação, são eles: SIP (5060/UDP), NTP (123/UDP), SSDP (1900/UDP), SNMP (161/UDP), DNS (53/UDP), LDAP (389/UDP), Memcached (11211/UDP), Netbios (137/UDP), SQL Server (1434/UDP), mDNS (5353/UDP), CoAP (5683/UDP), ARMS (3283/UDP), Portmap (111/UDP), OpenVPN (1194/UDP), Chargen (19/UDP), WS-Discovery (3702/UDP), e qotd (17/UDP).

20 Portas UDP que mais sofreram varreduras em 2020 Ordenadas por número de pacotes
#	Porta UDP	Pacotes	Bytes	Flows	IPs	Top 5 Country Codes (número de IPs de origem do tráfego)
01	5060/udp	1,1 G	646,0 GB	753,7 M	158.972	CN	(95.642)	US	(23.925)	IN	(6.949)	RU	(5.242)	JP	(5.213)
02	123/udp	37,2 M	3,9 GB	36,7 M	12.825	US	(3.466)	CN	(2.791)	KR	(2.358)	DE	(1.250)	SG	(385)
03	1900/udp	27,9 M	3,2 GB	27,8 M	132.941	CN	(103.545)	IN	(9.117)	US	(8.288)	RU	(6.322)	DE	(1.235)
04	161/udp	25,2 M	1,8 GB	17,4 M	7.691	US	(4.387)	DE	(1.176)	BR	(448)	SG	(369)	PL	(279)
05	53/udp	22,3 M	1,4 GB	22,0 M	35.376	BR	(25.097)	US	(6.633)	DE	(781)	CN	(461)	SG	(388)
06	389/udp	19,6 M	1,5 GB	19,6 M	3.135	DE	(1.130)	US	(832)	NL	(245)	GB	(182)	RO	(127)
07	1324/udp	15,2 M	1,5 GB	3,3 M	104	CN	(46)	RU	(9)	KR	(9)	FR	(9)	US	(8)
08	11211/udp	11,9 M	656,1 MB	11,8 M	136.930	CN	(106.856)	IN	(10.552)	RU	(6.735)	US	(6.045)	KR	(1.752)
09	137/udp	9,9 M	737,6 MB	9,6 M	18.977	US	(4.664)	BR	(2.086)	CN	(1.481)	DE	(1.290)	MX	(995)
10	53413/udp	8,8 M	1,1 GB	8,8 M	1.029	SG	(362)	US	(197)	CN	(174)	NL	(69)	HK	(39)
11	1434/udp	8,2 M	277,4 MB	8,1 M	31.831	US	(8.778)	IN	(7.857)	RU	(6.322)	CN	(3.704)	DE	(1.245)
12	5353/udp	8,0 M	616,3 MB	7,9 M	151.982	CN	(121.500)	IN	(10.650)	US	(7.211)	RU	(6.430)	KR	(1.696)
13	5683/udp	7,9 M	348,0 MB	7,9 M	1.591	US	(674)	SG	(362)	CN	(166)	GB	(133)	NL	(67)
14	3283/udp	7,4 M	231,9 MB	7,3 M	1.403	US	(457)	SG	(365)	CN	(134)	NL	(100)	FR	(49)
15	111/udp	7,4 M	488,2 MB	7,3 M	3.429	US	(2.580)	SG	(353)	CN	(191)	GB	(121)	HK	(39)
16	1194/udp	7,2 M	296,6 MB	7,2 M	434	US	(183)	CN	(70)	GB	(49)	NL	(30)	RO	(26)
17	19/udp	6,9 M	215,0 MB	6,9 M	994	US	(552)	GB	(129)	NL	(83)	RO	(43)	RU	(29)
18	3702/udp	6,3 M	2,0 GB	6,3 M	777	US	(266)	NL	(109)	DE	(54)	CA	(43)	FR	(42)
19	17/udp	5,8 M	217,9 MB	5,8 M	1.143	US	(388)	SG	(356)	CN	(127)	GB	(120)	HK	(39)
20	623/udp	5,7 M	293,3 MB	5,7 M	4.560	US	(2.752)	DE	(1.013)	SG	(354)	CN	(171)	GB	(121)

topo

$Date: 2021/08/03 12:24:32 $