- Dari sekitar 2,67 juta IP unik yang dikumpulkan honeypot Anubis di Sourceware, 89,3% tidak ada dalam daftar ancaman yang sudah ada, sehingga aktivitas scraper sulit diidentifikasi hanya dengan daftar blokir yang telah dikenal
- Dengan menyisipkan HTML yang secara semantik tidak valid dan tautan “Don't click me” di halaman challenge, Anubis mengarahkan scraper yang buruk yang mengikuti tautan itu ke konten tidak berguna dan tautan tambahan
- Dari 2.678.193 IP unik, 286.161 alamat (10,7%) terdaftar dalam basis data, dan 98,6% di antaranya masuk kategori abuse; keseluruhan lalu lintas tersebar di 229 negara dan 21.116 ASN
- Lalu lintas itu bisa saja berasal dari perangkat rumah pintar yang terinfeksi dan ikut dalam jaringan proxy, tetapi data yang dikumpulkan saja tidak dapat membuktikan jenis perangkat sebenarnya atau apakah perangkat tersebut benar-benar terinfeksi
- Untuk menangani scraping yang tidak terbatas pada negara atau jaringan tertentu, diperlukan web application firewall seperti Anubis, sementara solusi mendasar menuntut respons global yang terkoordinasi secara serentak
Scraper yang Lolos dari Daftar Ancaman yang Ada
- Dalam proses membangun Anubis reputation database, 80~90% akses yang dicatat oleh fitur honeypot berasal dari IP yang tidak ada dalam daftar pemantauan ancaman yang sudah ada
- Data yang dikumpulkan Sourceware dalam beberapa bulan terakhir mencakup 2.678.193 IP unik
- Tidak ada alamat yang dikecualikan karena entri non-IP atau duplikasi
- Alamat yang terdaftar dalam basis data berjumlah 286.161, atau 10,7% dari total
- Alamat yang tidak terdaftar berjumlah 2.392.032, atau 89,3% dari total
- Tabel input lengkap dapat dilihat di Appendix A: Full tables for the reputation database input
Klasifikasi dan Penyedia untuk IP yang Terdaftar
- Di antara alamat yang terdaftar dalam basis data, kategori abuse mencakup 282.182 alamat atau 98,6%
- datacenter 7.918 (2,8%)
- proxy 2.562 (0,9%)
- vpn 1.264 (0,4%)
- crawler 46
- tor 17
- Berdasarkan flag terpisah, tercatat
is_datacenter7.918,is_proxy2.562,is_vpn1.264, danis_crawler46 - Ada 126 penyedia, dengan netshield menempati porsi terbesar yaitu 237.945 (83,2%)
- bitwire 96.539 (33,7%), magicteamc 26.475 (9,3%), ipinsights 17.378 (6,1%), threathive 8.422 (2,9%)
- Selain itu juga termasuk netmountains, multacom, fyvri, cbuijs, x4bnet, solispirit, dailyproxy, blackwall, hproxy, Scaleway, AWS, Alibaba Cloud, OVHcloud, dan lainnya
- Satu IP dapat memiliki beberapa kategori atau informasi penyedia, sehingga total persentase dapat melebihi 100%
Persebaran di Berbagai Negara dan Jaringan
- Seluruh alamat teramati di 229 negara, sehingga tidak terbatas pada wilayah tertentu
- Jumlah alamat terbanyak adalah Brasil 270.937, India 185.091, Arab Saudi 120.372, Meksiko 95.449, dan Turki 87.258
- Tingkat pendaftaran dalam basis data tercatat Bangladesh 29,9%, Ukraina 27,6%, Irak 21,9%, Venezuela 21,3%, Pakistan 20,0%, dan seterusnya
- Amerika Serikat mencatat 3.347 alamat terdaftar dari 40.828, yaitu 8,2%
- Jika dibandingkan dengan fakta bahwa ISO 3166-1 mencakup 249 negara dan di antaranya 193 adalah anggota PBB, aktivitas scraper ini mencakup seluruh dunia
- Alamat-alamat tersebut tersebar di 21.116 ASN
- AS55836 Reliance Jio Infocomm Limited: 1.749 dari 57.029, atau 3,1%
- AS45899 VNPT Corp: 6.831 dari 56.910, atau 12,0%
- AS14593 Space Exploration Technologies Corporation: 4.597 dari 31.569, atau 14,6%
- AS9541 Cyber Internet Services: 3.696 dari 21.386, atau 17,3%
- Tabel tersebut menghilangkan 18.069 ASN lainnya
Cara Honeypot Anubis Mengurung Scraper
- Untuk mengukur seberapa luas masalah scraper menyebar, Anubis menyisipkan HTML yang secara semantik tidak valid berikut ke semua halaman challenge
/init">Don't click me
- Dalam pemrosesan normal, tautan ini seharusnya diabaikan, tetapi jika diikuti maka akan dikembalikan konten yang murah untuk dibuat dan tidak memiliki informasi yang berarti
- Konten yang dikembalikan kembali berisi dua tautan menuju halaman lain
- Struktur ini dirancang untuk mengarahkan scraper yang ditulis dengan buruk ke dalam honeypot alih-alih ke situs web yang dilindungi, sambil mengukur skala masalahnya
Kemungkinan Infeksi pada Perangkat Rumah Pintar dan Batasan Penanganan
- Sebagian besar lalu lintas yang diamati mungkin berasal dari perangkat rumah pintar yang terinfeksi yang menyumbangkan lalu lintas ke jaringan proxy
- Namun, ini tetap sebatas dugaan, dan data yang dikumpulkan tidak secara langsung membuktikan jenis perangkat sebenarnya atau apakah perangkat itu terinfeksi untuk tiap IP
- Untuk memberi dampak nyata pada masalah yang tersebar di berbagai negara dan ASN, dibutuhkan respons global yang terkoordinasi secara serentak
- Karena skala scraping sudah cukup luas, ada kebutuhan untuk mengoperasikan web application firewall seperti Anubis
- Fakta dan situasi bisa saja telah berubah sejak dipublikasikan, jadi bagian yang tidak jelas atau keliru perlu diverifikasi sebelum menarik kesimpulan terlalu cepat
1 komentar
Komentar Lobste.rs
script type=ignoreitu cerdik. Alat seperti elinks dan Chrome headless yang digunakan scraper akan sepenuhnya mengabaikannya, tetapi kontennya sendiri tetap bisa dikirim ke markas dan dimasukkan ke antrean kerjaSecara khusus saya ingin tahu lebih banyak tentang cara mendeteksi apakah perangkat yang terinfeksi berkomunikasi dengan server command-and-control (C&C)
Mungkin bisa memakai total volume trafik atau jumlah IP tujuan berbeda yang dihubungi sebagai patokan
abusedi siniabusedi file ini: https://github.com/TecharoHQ/reputationdb/…