David De Giacomi's Blog


.NET Rocks!
Meteo
Sondaggio
Quali di questi plugin hai installato ?

Flash Player
Silverlight 1.0/2.0
Entrambi

Calendario
dicembre 2017
lmmgvsd
27282930123
45678910
11121314151617
18192021222324
25262728293031
1234567

Analisi geografica degli IP del virus da SQL Injection Attacks

Sono alcuni giorni che mi sto interessando del famoso pseudo-virus da SQL Injection, noto da tempo ma che solo da pochi giorni sta creando danni un po' ovunque, chi dice centinaia di migliaia di pagine web colpite chi dice addirittura milioni. In ogni caso è interessante capire oltre chè la diffusione degli attacchi (come numero) anche da dove provengono. In questo modo è possibile capire se una soluzione di blocco IP-Based può essere efficace o meno (lo dico in anticipo non lo è).

Ho costruito quindi un filtro ad hoc e installato su dotNetHell.it per filtrare tutte le HTTP Request. Dopo 3 giorni di monitoraggio posso fornire un dato sul numero degli attacchi intercettati e bloccati:

Purtroppo lo storico è breve perchè ho dovuto troncare la tabella di logging perchè esplode facilmente come numero di record dato l'elevato numero di richieste HTTP (del virus e non). Posso garantire però che il numero di attacchi nei giorni precedenti era molto minore, segno che il virus si è diffuso rapidamente su vari client nel mondo che simultaneamente e in modo distribuito cercano di infettare altre pagine.

Le variazioni di codice sul HttpModule consentono anche di risalire come detto poco fa alla nazionalità degli IP da cui giungono gli attacchi. Ecco qui la lista. Si potrà facilmente capire che tutti gli attacchi o quasi giungono da nazioni sottosviluppate o emergenti in cui la tecnologia è ad un basso livello e in cui non c'è una legislazione efficace che tende a prevenire o a sopprimere questo tipo di attacchi.

Argentina
Brazil
Chile
China
Colombia
Croatia
Cyprus
Czech Republic
Dominican Republic
Ecuador
Egypt
French Polynesia
Guatemala
Honduras
India
Indonesia
Kenya
Korea, Republic of
Latvia
Malaysia
Mexico
Netherlands Antilles
Oman
Pakistan
Peru
Philippines
Poland
Russian Federation
Slovakia
Slovenia
Spain
Taiwan
Thailand
Turkey
United Arab Emirates
Venezuela
Vietnam

Viene da sè quindi che dopo questo tipo di analisi, un blocco a livello di IP non sarebbe una trovata geniale perchè potrebbe bloccare anche altri utenti che ignari si trovano bloccato l'accesso. Esaminando però nel dettaglio la questione se vi trovate a gestire un sito Internet in lingua italiana come nel mio caso, penso che si potrebbe fare certamente a meno di qualche vietnamita, o qualche peruviano, o qualche italiano che va in vacanza in Tailandia, no ?

Categoria: Tecnologie
giovedì, 10 lug 2008 Ore. 11.55
Archivio Posts
Anno 2009

Anno 2008

Anno 2007

Anno 2006

Anno 2005
Mappa
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003