Anonymiserad statistik från ett passivt system som emulerar industriella styrsystem, nätverkskameror, VPN-portaler och DevOps-tjänster.
Exkl. egna IP-adresser och kända skanningssystem.
| Tid UTC | Land | Endpoint | Kategori | Metod |
|---|---|---|---|---|
| 2 h sedan | HU | root_probe | generic_scan | GET |
| 2 h sedan | BE | root_probe | generic_scan | GET |
| 3 h sedan | US | root_probe | generic_scan | GET |
| 3 h sedan | TH | root_probe | generic_scan | GET |
| 3 h sedan | IE | root_probe | generic_scan | HEAD |
| 4 h sedan | NL | sdk_weblanguage | generic_scan | GET |
| 4 h sedan | BR | sdk_weblanguage | generic_scan | GET |
| 5 h sedan | BE | root_probe | generic_scan | GET |
| # | Förfrågningar | Endpoint-grupper | Tjänstetyper | OT-fokus |
|---|---|---|---|---|
| 1 | 436 | 5 | 4 | OT-riktad |
| 2 | 76 | 5 | 4 | OT-riktad |
| 3 | 294 | 4 | 4 | OT-riktad |
| 4 | 176 | 4 | 3 | OT-riktad |
| 5 | 170 | 4 | 4 | OT-riktad |
| 6 | 165 | 4 | 4 | OT-riktad |
| 7 | 45 | 4 | 4 | OT-riktad |
| 8 | 40 | 4 | 4 | OT-riktad |
| 9 | 1 727 | 3 | 3 | OT-riktad |
| 10 | 1 425 | 3 | 3 | OT-riktad |
| 11 | 1 413 | 3 | 3 | OT-riktad |
| 12 | 1 222 | 3 | 3 | OT-riktad |
| Datum | NL Nederländerna |
US USA |
DE Tyskland |
BR Brasilien |
RO Rumänien |
HK Hongkong |
Totalt |
|---|---|---|---|---|---|---|---|
| 2026-07-03 | 81 | 22 | · | 7 | · | 1 | 139 |
| 2026-07-02 | 143 | 93 | 4 | 9 | 19 | 12 | 330 |
| 2026-07-01 | 55 | 45 | 36 | 12 | 18 | 21 | 272 |
| 2026-06-30 | 178 | 97 | 4 | 8 | 18 | 15 | 385 |
| 2026-06-29 | 103 | 56 | 65 | 28 | 20 | 20 | 361 |
| 2026-06-28 | 109 | 50 | 36 | 11 | · | 6 | 262 |
| 2026-06-27 | 219 | 81 | 4 | 21 | · | · | 352 |
| 2026-06-26 | 14 | 16 | 15 | 3 | 18 | · | 96 |
Enbart extern trafik. Mörk cell = hög aktivitet från landet. Egna IP-adresser exkluderade.
| # | Protokoll | Totalt | Andel | Idag | Fördelning |
|---|---|---|---|---|---|
| 1 | SSDP/UPnP :1900 | 6 385 | 47% | — |
|
| 2 | SSH Banner :2222 | 5 278 | 38.9% | — |
|
| 3 | Telnet :23 | 285 | 2.1% | — |
|
| 4 | Hikvision SDK :8000 | 252 | 1.9% | — |
|
| 5 | OPC-UA :4840 | 141 | 1% | — |
|
| 6 | Siemens S7comm :10102 | 138 | 1% | — |
|
| 7 | Niagara Fox :1911 | 135 | 1% | — |
|
| 8 | DNP3 :20000 | 112 | 0.8% | — |
|
| 9 | Modbus TCP :15502 | 105 | 0.8% | — |
|
| 10 | EtherNet/IP :44818 | 101 | 0.7% | — |
|
| 11 | iec104 | 91 | 0.7% | — |
|
| 12 | SIP :5060 | 90 | 0.7% | — |
|
| 13 | Dahua TCP :37777 | 86 | 0.6% | — |
|
| 14 | SNMP :161 | 78 | 0.6% | — |
|
| 15 | RTSP :554 | 76 | 0.6% | — |
|
| 16 | MQTT :1883 | 74 | 0.5% | — |
|
| 17 | GE SRTP :18245 | 58 | 0.4% | — |
|
| 18 | MELSEC SLMP :5007 | 52 | 0.4% | — |
|
| 19 | bacnet | 41 | 0.3% | — |
|
| 20 | FTP :21 | 1 | 0% | — |
|
Alla träffar sedan start. "Idag" = antal förfrågningar innevarande dag UTC. Egna IP-adresser exkluderade.
Automatiserade Telnet-anslutningar som systematiskt provar inloggningsuppgifter från läckta databaser. Målet är att ta över routrar och IoT-enheter för att bygga ut botnät.
Förfrågningar som matchar kända CVE-signaturer — angriparen söker efter en specifik sårbarhet i industriella styrsystem, kameror eller nätverksutrustning.
OT-protokollförfrågningar med webbläsar-useragent (Mozilla/Chrome/Safari). Avsikten är att undgå signatursbaserade detekteringssystem som filtrerar bort tydlig scanneridentitet.
Räkningar avser observationer i honeypot-data. Siffrorna speglar angriparmönster, inte faktiska intrång.
Trenddata aggregeras per UTC-dag från den interna insamlingspipelinen och publiceras med upp till 24 timmars fördröjning.
Varje bar representerar totalt antal inkommande förfrågningar under dygnet, exklusive egna IP-adresser och kända skanningssystem.
Dagar utan registrerad aktivitet visas som noll.
| Kvartal | Requests | Unika IP | High-signal | Credential-försök | Residential IP |
|---|---|---|---|---|---|
| 2026-Q1 | 18 256 | 2 551 | 112 | 470 | — |
Kvartal med noll requests exkluderas. Δ = förändring mot föregående kvartal i tabellen.
Inga IP-adresser visas. ASN-data via passiv geo-enrichning.
Honeypoten exponerar ett fullständigt MCP-gränssnitt med OT/ICS-teman. Scanning identifieras via endpoint_group=mcp_probe och attack_type=mcp_probe.