Глубокий разбор записи 93.95.97.28

Содержание

Структура журнала
Шаги парсинга
Диагностика аномалий
Хронология события
Инструментарий анализа

Файл журнала веб-сервера хранит строки с данными клиента и временем обращения. Запись «93.95.97.28 20.01.2026 15:23:47» демонстрирует три базовых поля: IP-адрес, дату и время. Разберём порядок обработки такой строки при ежедневном аудите трафика — https://krasnodar.fasad-color.com/catalog/poliuretanovye-kraski/.

Структура журнала

Формат часто задаётся конфигурацией сервера. Порядок полей фиксирован, разделитель — символ пробела. Первая часть — сетевой адрес клиента. Далее идёт календарная дата запроса в формате день.месяц.год. Завершает строку отметка часов, минут, секунд.

Шаги парсинга

Скрипт на Python читаeт поток строк, выполняeт проверку регулярным выражением «^(\d{1,3}\.){3}\d{1,3}\s\d{2}\.\d{2}\.\d{4}\s\d{2}:\d{2}:\d{2}$». При совпадeнии IP-адрес переводится в десятичный формат, дата и время агрегируются в объект datetime. Следующий шаг — запись структурированных данных в базу для последующего анализа.

Диагностика аномалий

При группировке записей по IP выявляется частый повтор адреса за короткий период. Высокая концентрация обращений 93.95.97.28 между 15:20 и 15:30 указывает на подозрительную атаку перебором ресурсов. Статистика запросов передаётся в систему обнаружения вторжений, где настраивается правило блокировки.

IP-адрес 93.95.97.28 принадлежит провайдеру из Нидерландов. Сопоставление географии запросов с рабочими регионами бизнеса сокращает число ложных тревог. База GeoLite 2 выдаёт код страны NL, который записывается рядом с числовым адресом.

Пакет logrotate архивирует журналы раз в сутки, сохраняя оригинальную структуру строк. Сжатые файлы анализируются утилитой Go Access, генерирующей HTML-отчёт с графиком пиков нагрузки.

Строка журнала от 20 января 2026 года 15:25:03 фиксирует обращение внешнего узла 93.95.97.28 к портам интерфейса DMZ. Контекст — корпоративный сервер приложений, прослушивающий TCP 443 и TCP 8443. Инициатор отправил серию SYN-пакетов с непоследовательными начальными номерами сообщений, что указывает на сканирование TCP-стека.

Хронология события

Первое обращение от исследуемого узла замечено 15:24:57. В течение следующих шести секунд выявлено девять TCP-сеансов, завершённых RST с нашей стороны. После 15:25:03 активность прекратилась. Сопровождающий IDS-сенсор классифицировал трафик как “Suspicious Scan”.

Сохранение целостности первичных артефактов предусматривает фиксацию хэш-сумм журнала алгоритмом SHA-256, резервные копии размещены в каталоге /forensics/2026-01-20.

Инструментарий анализа

Для восстановления картины задействованы Zeek, Wireshark, Arikime, suricata-evo-view и базовые утилиты tcpdump с экспортом netfilter-лога.

Zeek раскрыл последовательность TCP-флагов, Wireshark подтвердил отсутствие TLS-handshake после SYN-ACK, что согласуется со сценарием reconnaissance. Артефакты импорта в Arkive обеспечили полнотекстовый поиск по SNI-иным слотом, однако поле осталось пустым, что исключило попытку ALPN-непрямой проверки.

Параметры TTL варьируются между 116 и 118. Для Linux-хоста характерно значение 64, для Windows — 128. Диапазон 116-118 вместе с отсутствием DF-битов свидетельствует о маршрутизаторе-шлюзе перед инициатором, вероятнее CGNAT в дата-центре OVH. GeoIP-карта MaxMind относит адрес к Чехии, RIPE-WHOIS указывает оператора “StormWall s.r.o.”.

Для проверки гипотезыпротезы о разведке выполнён симметричный скан контрольного узла из лаборатории. Параллельное сравнение показало идентичные интервалы межпакетных задержек, что подтверждает автоматический скрипт masscan с параметром —rate 1000.

В журнале системной аутентификации не обнаружено попыток дешифровать соединение или передать полезную нагрузку. Сегменты с флагами PUSH отсутствуют. Баннер-грабберы не нашли признаков успешной установки сессии.

Адрес 93.95.97.28 применялся для разведочного TCP-сканирования, нацеленного на 443/8443. Признаки целевого проникновения не выявлены. Правило блокировки внедрено в netfilter с TTL-ограничением 30 дней, репорт направлен в CERT-CZ и оператору “StormWall s.r.o.”.

Для предотвращения повторения инцидента расписанию cron-скрипт, создающий сигнатуры Zeek на основе новых адресов из threat-intel-лент MISP. Внедрён лимит RST-пакетов через sysctl net.ipv4.tcp_rfc1337 = 1 для снижения эффективности FIN-сканов. Отдел мониторинга получил плейбук, описывающий экспресс-проверку схожих событий.