Heute geht es darum, die vom SSH-Tarpit generierten Log-Dateien nach allen Regeln der Kunst auszuwerten. Dabei kommen sehr interessante Dinge heraus, die einigen Aufschluss über die weltweiten Aktivitäten von Angreifern geben
Es sind nämlich nicht nur die üblichen Verdächtigen im Spiel, von denen man es immer zuerst annimmt. Ausserdem lässt sich einiges über die Effektivität von Tarpit herausfinden. Wie ich finde eine sehr lehrreiche und spannende Angelegenheit.
Zu diesem Zweck haben einige Entwickler ein paar Tools programmiert, die die Auswertung um einiges komfortabler machen. Herunterladen kann man die Analysetools von der Github-Seite
Zu Beginn erstellt man sich ein Verzeichnis, in das alle Tools kopiert werden. Die gelb markierten Dateien müssen heruntergeladen werden. Die IP-locations.zip muss entpackt werden. Sofern man noch über keine eigenen Logfiles verfügt, ebenfalls die tarpit-demo-data.zip
Die vom SSH-Tarpit generierte Rohdatei tarpit.log muss sich im selben Verzeichnis befinden
Beispiel:
Dann startet man, ein installiertes Java vorausgesetzt, das Konvertierungstool mit folgendem Befehl.
java -jar TarpitConv.jarEs wird eine Datei log.txt erzeugt, auf die alle anderen Tools aufsetzen.
Danach geht es weiter
Die Datei "ip-locations.txt" muss sich dazu ebenfalls im Verzeichnis befinden
java -jar TarpitAn.jarDie Datei result.txt wird erzeugt.
Beispiel:
Um auswertbare Geodaten zu generieren, bitte folgenden Befehl eingeben
java -jar TarpitAnGeo.jarAls Ergebnis wird eine kml Datei zur weiteren Verarbeitung z.B. in Google Maps erzeugt. Je nach Grösse der Log-Datei und der eingesetzten Hardware kann das einige Stunden dauern.
Schon sehr beachtlich. Interessanter wird es noch, wenn man in diese Karte hineinzoomt.
Der nächste Schritt ist die Erzeugung einer Countrycode Datei. Es kann unter Umständen sehr lange dauern bis dieser Schritt erledigt ist.
java -jar TarpitAnCC.jarAls Ergebnis wird eine Countrycode Datei erzeugt
Beispiel:
Das war es fürs erste. Viel Spass beim analysieren.
