Nel nostro lavoro gestiamo diversi sistemi esposti su Internet, sia per noi che per i nostri clienti.
Tra questi, manuteniamo anche una rete di honeypot progettate per un obiettivo molto preciso: intercettare traffico malevolo e alimentare automaticamente le nostre blacklist.
Negli ultimi giorni, una di queste honeypot ha registrato un aumento anomalo di connessioni sulla porta 21 (FTP). A prima vista poteva sembrare un attacco mirato. Non lo era.
Il contesto: honeypot e difesa attiva
Le honeypot che utilizziamo non sono sistemi “passivi”.
Ogni connessione in ingresso viene analizzata e gli IP sorgenti vengono automaticamente:
- classificati
- inseriti in blacklist
- distribuiti tramite ipset ai server che gestiamo
Questo ci consente di bloccare in modo proattivo una grande quantità di traffico malevolo prima ancora che raggiunga i sistemi reali.
Il segnale: aumento improvviso di traffico
Tra il 25 e il 26 marzo abbiamo osservato un incremento netto di tentativi di accesso sulla porta 21.
Esempio reale dai log:
SRC=120.239.14.57 DST=xx.xx.xx.xx PROTO=TCP SPT=11955 DPT=21 SYN
SRC=117.152.156.154 DST=xx.xx.xx.xx PROTO=TCP SPT=22796 DPT=21 SYN
SRC=223.150.68.139 DST=xx.xx.xx.xx PROTO=TCP SPT=28529 DPT=21 SYN
Tutte le connessioni avevano una caratteristica comune:
- solo pacchetti SYN
- nessun completamento della connessione
- nessun tentativo di autenticazione
Questo significa una sola cosa: fase di discovery (port scanning).
Il falso indizio: “tutti IP dalla Cina”
Un dettaglio che può trarre in inganno è la provenienza geografica degli IP, la maggior parte degli indirizzi risultava localizzata in Cina, ma questo non significa che l’attacco provenga realmente da lì.
In scenari come questo, gli IP sono spesso:
- VPS a basso costo
- infrastrutture cloud
- dispositivi compromessi (botnet)
In altre parole:
la geolocalizzazione indica da dove parte il traffico, non chi lo controlla.
La parte interessante: fingerprint della scansione
Analizzando i parametri TCP/IP emerge un dettaglio molto più significativo della provenienza geografica.
Molti pacchetti condividono le stesse caratteristiche:
- TTL compreso tra 43 e 48
- Window size = 65535
- IP ID = 4919 (ripetuto su moltissimi IP diversi)
Questo è un indicatore estremamente forte, in condizioni normali, l’IP ID varia continuamente, vederlo identico su sorgenti diverse significa che non sono macchine indipendenti, ma nodi che utilizzano la stessa implementazione di rete.
Traduzione: stessa toolchain, distribuita su più host
Il comportamento è compatibile con scanner ad alta velocità come masscan o varianti custom.
Timeline dell’evento
L’analisi temporale conferma il pattern:
- 22–23 marzo → traffico distribuito globale (normale rumore di fondo)
- 25 marzo sera → inizio incremento
- 26 marzo → picco concentrato, prevalenza Asia
- 27–28 marzo → traffico ancora elevato ma più distribuito
Questo tipo di andamento è tipico di una campagna automatizzata temporanea, non di un attacco mirato.
Cosa NON è successo
È importante chiarire cosa non abbiamo osservato:
- nessun brute force FTP
- nessun exploit
- nessun payload applicativo
nessuna persistenza sugli stessi IP
Questo conferma che si trattava esclusivamente di:
scansione massiva Internet-wide alla ricerca di servizi esposti
Il valore operativo della honeypot
Questo tipo di eventi dimostra il valore reale di una rete di honeypot:
- intercettazione precoce delle campagne di scansione
- identificazione di pattern e fingerprint
- aggiornamento automatico delle blacklist
- riduzione della superficie di attacco sui sistemi reali
In pratica, trasformiamo il “rumore di fondo” di Internet in intelligence utilizzabile.
Prevenire è meglio che curare
Un’infrastruttura esposta su Internet non può limitarsi a “resistere” agli attacchi, deve anticiparli.
Per questo, nei sistemi che gestiamo adottiamo sempre:
- firewall con policy restrittive
- blacklist dinamiche (ipset)
- sistemi di monitoring e alerting
- segregazione dei servizi esposti
- raccolta e analisi continua dei log
Perché la realtà è semplice:
se una porta è esposta, qualcuno la troverà. Sempre.
La differenza sta in quanto sei preparato quando succede.
Aggiungi un commento