openportstats.com怎么了?

2020-12-23 21:18:41

在过去的几个月中,我所参与的几个小组一直在讨论openportstats.com。他们首先在2020年5月引起我注意。当时,许多ISP指示俄罗斯IP尝试DOS(ASN202425)。流量确实不足以造成任何损害,但在某些情况下,网络流量会导致某些设备出现问题并导致某些低速链接出现拥塞。

一个防火墙每小时显示330,000个阻止的端口扫描事件。由于有一些空闲时间进行研究,因此路径通往了openportstats.com网站,该网站位于法国,并声称是物联网研究人员。实际上,在7月下旬,ISC将openportstats添加到了我们的已知研究人员列表中。

我最近尝试使用他们网站上列出的两个电子邮件地址与他们联系,并且两个电子邮件都被退回了"服务器不可用&#34 ;.

我全力支持安全研究,但其他造成Internet背景噪音的扫描仪和搜寻器均未引起openportstats.com的影响。他们的扫描笨拙且过于激进,并且由于我缺乏与他们联系的运气,我不得不质疑这些研究人员及其研究的合法性。

如果您也从他们的扫描中感受到了影响,或者认识了与openportstats.com相关的任何人,我很乐意通过对此日记的评论或通过我们的联系页面来了解有关它的信息。

更新:一位读者指出,这些IP实际上不是在俄罗斯,而是在荷兰。某些IP范围已注册到俄罗斯IP地址,但是AS204655和AS202425都由IP Volume Inc(以前称为Ecatel)托管在阿姆斯特丹附近。埃卡特尔及其后代有一个臭名昭著的历史。

-Rick Wanner MSISE-isc dot sans dot edu的rwanner-http://namedeplume.blogspot.com/-Twitter:namedeplume(受保护)

扫描来自哪个IP(或范围)?帖子尚不清楚。更新:我绝对可以看到来自这些IP的流量。到目前为止,已有200多个数据包。虽然影响不大。我的路由器拒绝了大部分。

我在研究中偶然发现了这一点。我还发现此条目表明存在恶意活动... seclists.org/nanog/2019/Jun /...。 不幸的是,这两篇文章都没有详细介绍细节,因此很难量化它们是否适合某些情况,或者这仅仅是巧合。不良现象一直在互联网上发生。我确实想把它们喊出来,但不会在没有可量化证据的情况下诱使他们进行恶意活动。

他们已经搬了一些,尽管大部分都住在AS202425中。 7月的范围是185.176.26.0-185.176.27.255。通常,它们具有用于scanner.openporsts.com的DNS条目。截至上周,这些产品已指向以下IP范围: 185.216.140.0/23-AS204655 80.82.64.0/24-AS202425 80.82.65.0/24-AS202425 80.82.70.0/24-AS202425 80.82.77.0/24-AS202425 80.82.78.0/24-AS202425 89.248.160.0/24-AS202425 89.248.162.0/24-AS202425 89.248.167.0/24-AS202425 89.248.168.0/24-AS202425 89.248.169.0/24-AS202425 89.248.170.0/24-AS202425 89.248.171.0/24-AS202425 89.248.172.0/24-AS202425 89.248.174.0/24-AS202425 93.174.93.0/24-AS202425 93.174.95.0/24-AS202425 94.102.49.0/24-AS202425 94.102.50.0/24-AS202425 94.102.51.0/24-AS202425 94.102.52.0/24-AS202425 94.102.53.0/24-AS202425 94.102.56.0/24-AS202425 94.102.57.0/24-AS202425