如何衡量互联网设备的日常威胁？

网络安全专家通过部署蜜罐做了近一年时间的检测，对攻击类别和攻击量等做了系统展示其中收集了 70 亿个连接总计 8.06 亿个告警。告警并不集中，平均每天约 220 万告警：信息泄露类占总体告警的 42.3%，协议命令解码类占总体告警的 41.1%，合计达到总体告警的 83.4%。

漏洞利用

IoT 的漏洞利用攻击只能占到所有漏洞利用的 2.6%，绝大多数漏洞都是针对 SMB、Web 的。并且，EternalBlue、Heart bleed 和 Shellshock 这些老漏洞仍有着广泛的在野攻击。

如前图所示，Shellshock 在其他国家几乎绝迹，中国反而一骑绝尘。美国在各种漏洞利用上都占比很大，尤其是 Heartbleed。而永恒之蓝是越南占比最高。RDP 占比最高在俄罗斯，暴力破解占比最高在爱尔兰，Telnet 占比最高在韩国。

暴力破解

99.93% 的暴力破解都与 SSH 协议有关，针对电子邮件服务于 MySQL 服务相对较少。

少数国家贡献了超过 90% 的告警，并且大多数攻击都来自较小的国家或地区。

权限提升

针对不同版本的 SMB、Web 应用程序与 RDP 等服务，攻击者会尝试获取额外权限。2002 年披露的两个 SNMP 漏洞（CVE-2002-0012 与 CVE-2002-001）出现最为频繁，其次是 SMB 的 SMBGhost 漏洞（CVE-2020-079）等。

攻击面

Web 应用

Web 应用的告警分布在 22856 个端口上，大多数告警都针对 8088（92.5%）、7001（1.6%）与 80（1.2%）。

按照 OWASTP TOP 10 来归类，如下

RDP

最常见的 RDP 的端口包括 3389、3391、3390、3395 与 3393。所有 RDP 告警中，0.5% 会利用漏洞来获取额外的权限，20.3% 来自互联网扫描器。

SMB

SMB 告警占所有告警的 6.6%，其中 47.9% 来自漏洞利用，37.8% 来自远程代码执行。除了漏洞外，空会话行为也会创建大量告警。访问 IPC$ 创建的 SMB 告警，占比达到 50.4%。

Telnet

针对的目标端口是 23 与 9530，相关的报警绝大多数都与 IoT 恶意软件有关。

影响

DoS 攻击

大多数攻击针对的是 IRC、SSH、RDP 与 Web 应用程序。

1.9% 的告警与漏洞有关，11.5% 与 Web 应用程序有关。

威胁趋势

已知的持续攻击

与 13 年前的研究对比，大多数表现出攻击的 AS 仍然还是很活跃。Fire 对自治系统的跟踪与本文件有 71% 的重合，恶意的仍然还是恶意的。