深淵 迎賓館 仕様変更

別ホストの攻撃LOG収集用サーバー、名付けて「深淵 迎賓館」について、これまでは正規サイトからの転送などは行わず、ルーターも専用に用意し、別IPによる完全独立構成で運用していた。

しかし、実際に流れてくるのはこの程度の“ありふれた”アクセスばかりで、専用ルーターを用意するほどのメリットは見当たらない（笑）

59.146.94.167.censys-scanner.com - - [26/Mar/2026:05:25:34 +0900] "\x16\x03\x01" 400 489 "-" "-"
59.146.94.167.censys-scanner.com - - [26/Mar/2026:05:25:34 +0900] "GET / HTTP/1.1" 200 2159 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"
・・・
46.101.82.104 - - [26/Mar/2026:05:49:15 +0900] "GET / HTTP/1.1" 200 5273 "-" "-"
204.76.203.206.ptr.pfcloud.network - - [26/Mar/2026:05:53:35 +0900] "GET / HTTP/1.1" 200 2215 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"

いわゆるスキャナ系、既知クラウド、そして正体不明の汎用クローラ。
“観測対象としての価値”という意味では、特に目新しさはない。

そこで本日より、グローバルIPは正規サイトと同一とし、ルーターも常時稼働している一台に統合、以下の構成で運用を開始した。

●物理的イメージ

Internet
   |
   v
+----------------------------+
|        Router              |
|     iptables / NAT         |
+----------------------------+
   |                      |
   |                      |
 Normal                 Suspicious
 / Allowed              / Unknown
   |                      |
   v                      v
+----------------+   +----------------+
| 192.168.1.1    |   | 192.168.1.2    |
| Main Server    |   | Honeypot       |
+----------------+   +----------------+

●ルーターの iptables 振り分けイメージ

[Internet]
     |
     v
+-----------------------+
| Router (iptables)     |
|                       |
|  if src in whitelist  |
|      -> 192.168.1.1   |
|                       |
|  else                 |
|      -> 192.168.1.2   |
+-----------------------+
        |        |
        v        v
   Main Server  Honeypot

この構成により、物理機器を一台削減できるだけでなく、「入口での選別」という本来やりたかった構造に、ようやく素直に収束した形になる。

従来のように“分離して観測する”のではなく、同一IP上で「到達できるか否か」を含めて挙動を見るという意味では、むしろこちらの方が実態に近い。

また、正規サイトとハニーポットが同一ホスト群に存在することで、アクセス側にとっては「同一対象への試行」となり、振る舞いの差異もより明確に現れるはずだ。

さて・・・この単純化された構成の中で、どこまで“意図のあるアクセス”が浮かび上がるのか。