ZombieWPress - Analyse eines Wordpress-Botnetzes

Einführung

Was haben miserabel gewartete Wordpress-Instanzen bei Google, Microsoft, Cloudflare und beim DFN gemeinsam? Rethorische Frage. Rethorische Antwort: Sie werden für DDoS-Angriffe mißbraucht.

Angriffe via Wordpress, im speziellen via XMLRPC sind nicht neu, sondern seit 2014 bekannt. Es mag das eine oder andere Unternehmen geben, für die Angriffe auf der Applikationsebene in 2017 noch Neuland sind, aber spätestens seit Slowloris ist den Sicherheitsexperten, die sich mit dem Thema DoS und DDoS beschäftigen klar, dass nicht nur Volumenangriffe allein ein Problem darstellen.

Jede Wordpress-Webseite, die XMLRPC aktiviert hat, kann für DDoS-Angriffe auf andere Webserver mißbraucht werden. HINT: Die XML-RPC Schnittstelle ist per default seit WordPress 3.5 aktiviert, YaY! Das Problem ist den Wordpress-Entwicklern bekannt. Da die XMLRPC aber nicht als Bug, sondern als Feature gesehen wird, bleibt diese Schnittstelle aktiviert.

Das Phänomen eines Wordpress-Botnet wurde als erstes im Jahre 2014 von Sucuri beobachtet und in einer umfangreichen Analyse dokumentiert. Da es sich bei diesem Angriff um eine Reflection-Attacke handelt, bleibt der Angreifer für das Ziel unbekannt; eine Loganalyse der mißbrauchten Wordpress-Instanzen kann aber Hinwesie auf den Command&Control-Server liefern.

wp-xmlrpc-botnet

Botnet- und Angriffsanalyse

Das Botnet bestand aus knapp 500 Wordpress-Bots, der Angriff dauerte von 19:04 und ging bis 19:35, wobei der Angriff ab 19.25 erfolgreich war. Die Stärke und Art des Angriffs ist gemäß DDoS Resiliency Score DRS auf Stufe 3; standardmäßig abgesicherten Webseiten wäre dieser Angriff nicht gefährlich geworden.

In der ersten Phase, von 19:04 bis 19:20, erreichten durchschnittliche 1000 Requests pro Minute das Ziel. In dieser Phase war der Webshop noch erreichbar, an dem Angriff waren 75 Wordpress-Bots beteiligt. Ab 19:21 Uhr setze der Angreifer dann bis zu 500 Bots ein, sodass zu Peakzeit (19:26) 200 Requests/Sekunde auf den Server einprasselten, die letztendlich zu einer Überlast führten; der Webshop war down.

attack-all

gesamter Angriffsverlauf, Requests pro Minute

attack-peak

Angriff im Peak, Requests pro Sekunde

attack-pattern

Attack-Pattern, single Bot, Requests pro Sekunde

Verteilung nach Ländern

Nach Ländern aufgeteilt führen die USA eindeutig mit knapp 70%, gefolgt von Deutschland, Japan, weiteren europäischen Ländern, China und Russland.

    Top 100 Countries
    Country |  Count   
    --------+-----------
         US |    220 
         DE |     28 
         JP |     17 
         EU |     17 
         CN |     16 
         GB |     12 
         RU |      9 
         CA |      8 
         FR |      7 
         NL |      5 
         IT |      5 
         ID |      4 
         SE |      4 
         BR |      3 
         TW |      3 

Verteilung nach Rechenzentren/Providern

Interessanter ist da schon die Analyse nach Rechenzentren/Providern, in denen die mißbrauchten Wordpress-Instanzen zu finden sind. Neben den zu erwartenden Cloudprovidern wie z.B. Digital Ocean und Amazon, finden sich dort auch überraschenderweise Cloudflare, Google und Microsoft.

Deutsche Hosting-Provider wie Hetzner, Strato, Hosteurope oder Contabo sind überraschenderweise eher im unteren Mittelfeld zu finden.

Top ASNs

ASN_NR    |  Count | ASNName 
----------+--------+-----------------------------------
    14061 |     49 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US 
    16509 |     44 | AMAZON-02 - Amazon.com, Inc., US 
    14618 |     28 | AMAZON-AES - Amazon.com, Inc., US 
    62567 |     26 | DIGITALOCEAN-ASN-NY2 - Digital Ocean, Inc., US 
    46652 |     17 | SERVERSTACK-ASN - ServerStack, Inc., US 
    37963 |     11 | CNNIC-ALIBABA-CN-NET-AP Hangzhou Alibaba Advertising Co.,Ltd., CN 
    13335 |      9 | CLOUDFLARENET - CloudFlare, Inc., US 
    15169 |      8 | GOOGLE - Google Inc., US 
    24940 |      7 | HETZNER-AS, DE 
     8075 |      7 | MICROSOFT-CORP-MSN-AS-BLOCK - Microsoft Corporation, US 
     6724 |      6 | STRATO STRATO AG, DE 
   133165 |      6 | DIGITALOCEAN-AS-AP Digital Ocean, Inc., SG 
    26496 |      6 | AS-26496-GO-DADDY-COM-LLC - GoDaddy.com, LLC, US 
    38895 |      5 | AMAZON-AS-AP Amazon.com Tech Telecom, JP 
   202109 |      5 | DIGITALOCEAN-ASN-2, GB 
    16276 |      4 | OVH, FR 
     7506 |      4 | INTERQ GMO Internet,Inc, JP 
    20773 |      3 | HOSTEUROPE-AS, DE 
    36352 |      3 | AS-COLOCROSSING - ColoCrossing, US 
    51167 |      3 | CONTABO to AS1299 announce AS34933, DE 

Wordpress-Versionen

Da wir kompletten Zugriff auf die Logfiles bekamen, die während des Angriffs generiert wurden, konnten wir auch auswerten, welche Versionen beteiligt waren.

Die alteste Version war 2.8.4, veröffentlicht im August 2009, die jüngste Version 4.8 aus dem Juni 2017.

Worpdress hat im Oktober 2013 mit der Version 3.7 automatische Updates eingeführt, dem normalen Verstand folgend sollten also keine veralteten Versionen jenseits der 3.7 zu finden sein.

Reality beats Theory

wp-versions

WP-Versionen

Einschätzung

Der Angriff war mit 30 Minuten Dauer und max 200 Requests pro Sekunde weder besonders lang noch besonders stark und lag mit 500 beteiligten Bots am unteren Ende dessen, was aktuell in Zeiten von IoT-Botnetzen üblich ist. Nach DRS-Score lag ein Angriff der Stufe 3 vor.

Das Ziel war ein normaler dedizierter Server mit einer Shopware-Installation einer Firma für industrielle Glasklebestoffe mit ausschließlich gewerblichen Kunden, die im Normalfall einige Tausend Kunden am Tag besuchen; eine Anwendung aus dem Mittelstand also, wie sie vielfach zu finden ist. Trotz ausreichender Server-Ressourcen hat die Anwendung dem Impakt von mehr als 200 Bots nicht standgehalten; da der Vorfall ausserhalb der Geschäftszeiten stattfand und nach 30 Minuten endete, war der Impakt gering; ein Erpresserschreiben lag bis Redaktionsschluß nicht vor.

Diese Arten von Angriffen sind für 20-50 Euro/h in Hackerforen per Bitcoin oder Kreditkarten zu kaufen.

Server und Infrastruktur mit Layer 7 DDoS-Schutz hätte diesem Angriff und einem vielfachen davon problemlos widerstanden.

Abwehr

Jede Standard-WAF sollte einen Angriff eines Wordpress-Botnetzes abwehren können; die einzelnen Bots verraten sich über einen User-Agent, für den man einfache Signaturen schreiben und die WAF damit füttern kann.

Referenzen

Anhang

Wordpress-Versionen

Eine Liste von Wordpress-Versionen, die am Angrioff beteiligt waren:

2.8.4
2.8.5
3.2.1
3.3
3.3.1
3.3.2
3.4
3.4.1
3.4.2
3.5
3.5.1
3.5.2
3.6
3.6.1
3.7.1
3.7.21
3.7.3
3.7.8
3.8
3.8.1
3.8.11
3.8.19
3.8.2
3.8.21
3.8.3
3.8.5
3.8.8
3.9
3.9.1
3.9.11
3.9.14
3.9.19
3.9.2
3.9.3
3.9.5
3.9.8
3.9.9
4.0
4.0.1
4.0.18
4.0.5
4.0.7
4.0.8
4.1
4.1.1
4.1.10
4.1.12
4.1.13
4.1.15
4.1.18
4.1.2
4.1.5
4.1.7
4.1.8
4.2
4.2.1
4.2.13
4.2.15
4.2.2
4.2.3
4.2.4
4.2.5
4.2.7
4.2.8
4.2.9
4.3
4.3.1
4.3.11
4.3.3
4.3.5
4.3.6
4.4
4.4.10
4.4.2
4.4.3
4.4.5
4.5
4.5.1
4.5.2
4.5.3
4.5.9
4.6
4.6.1
4.6.6
4.7
4.7.1
4.7.2
4.7.3
4.7.4
4.7.5
4.8

Rohdaten

SUMMARY

IPs       : 327
Networks  : 255 
ASNs      : 137
Countries : 43



Top 100 ASNs

ASN_NR    |  Count | ASNName 
----------+--------+-----------------------------------
    14061 |     49 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US 
    16509 |     44 | AMAZON-02 - Amazon.com, Inc., US 
    14618 |     28 | AMAZON-AES - Amazon.com, Inc., US 
    62567 |     26 | DIGITALOCEAN-ASN-NY2 - Digital Ocean, Inc., US 
    46652 |     17 | SERVERSTACK-ASN - ServerStack, Inc., US 
    37963 |     11 | CNNIC-ALIBABA-CN-NET-AP Hangzhou Alibaba Advertising Co.,Ltd., CN 
    13335 |      9 | CLOUDFLARENET - CloudFlare, Inc., US 
    15169 |      8 | GOOGLE - Google Inc., US 
    24940 |      7 | HETZNER-AS, DE 
     8075 |      7 | MICROSOFT-CORP-MSN-AS-BLOCK - Microsoft Corporation, US 
     6724 |      6 | STRATO STRATO AG, DE 
   133165 |      6 | DIGITALOCEAN-AS-AP Digital Ocean, Inc., SG 
    26496 |      6 | AS-26496-GO-DADDY-COM-LLC - GoDaddy.com, LLC, US 
    38895 |      5 | AMAZON-AS-AP Amazon.com Tech Telecom, JP 
   202109 |      5 | DIGITALOCEAN-ASN-2, GB 
    16276 |      4 | OVH, FR 
     7506 |      4 | INTERQ GMO Internet,Inc, JP 
    20773 |      3 | HOSTEUROPE-AS, DE 
    36352 |      3 | AS-COLOCROSSING - ColoCrossing, US 
    51167 |      3 | CONTABO to AS1299 announce AS34933, DE 
     3462 |      3 | HINET Data Communication Business Group, TW 
    12876 |      3 | AS12876, FR 
    32475 |      3 | SINGLEHOP-LLC - SingleHop, Inc., US 
     7922 |      3 | COMCAST-7922 - Comcast Cable Communications, LLC, US 
     2514 |      3 | INFOSPHERE NTT PC Communications, Inc., JP 
    63949 |      3 | LINODE-AP Linode, LLC, US 
     9371 |      2 | SAKURA-C SAKURA Internet Inc., JP 
     9370 |      2 | SAKURA-B SAKURA Internet Inc., JP 
    18978 |      2 | ENZUINC-US - Enzu Inc, US 
    31034 |      2 | ARUBA-ASN, IT 
   201229 |      2 | DIGITALOCEAN-GERMANY, DE 
    33070 |      2 | RMH-14 - Rackspace Hosting, US 
    51747 |      2 | INTERNETBOLAGET, SE 
   202018 |      2 | DIGITALOCEAN-ASN-3, NL 
    19994 |      2 | RACKSPACE - Rackspace Hosting, US 
     2107 |      2 | ARNES-NET Academic and Research Network of Slovenia, SI 
     8560 |      2 | ONEANDONE-AS Brauerstrasse 48, DE 
    42730 |      2 | EVANZOAS, DE 
    20473 |      2 | AS-CHOOPA - Choopa, LLC, US 
    22773 |      1 | ASN-CXA-ALL-CCI-22773-RDC - Cox Communications Inc., US 
    48354 |      1 | RELANT-AS, RU 
     6306 |      1 | TELEFONICA VENEZOLANA, C.A., VE 
    42160 |      1 | LCPDCO LCP AS dc oostkamp, BE 
   201285 |      1 | KIRZHACHTELECOM-AS, RU 
    20960 |      1 | TKTELEKOM-AS, PL 
    24961 |      1 | MYLOC-AS, DE 
    25820 |      1 | IT7NET - IT7 Networks Inc, CA 
    39104 |      1 | REAGI-AS REAGI Network, FR 
     9931 |      1 | CAT-AP The Communication Authoity of Thailand, CAT, TH 
     7753 |      1 | IPHOUSE-1 - ipHouse, US 
    61157 |      1 | PLUSSERVER-ASN1, DE 
    39783 |      1 | RENTARACK-AS, NO 
     1955 |      1 | HBONE-AS HUNGARNET, HU 
    36351 |      1 | SOFTLAYER - SoftLayer Technologies Inc., US 
    14992 |      1 | CRYSTALTECH - CrystalTech Web Hosting Inc., US 
     3561 |      1 | CENTURYLINK-LEGACY-SAVVIS - Savvis, US 
    23688 |      1 | LINK3-TECH-AS-BD-AP Link3 Technologies Ltd., BD 
     5617 |      1 | TPNET, PL 
     7684 |      1 | SAKURA-A SAKURA Internet Inc., JP 
    29518 |      1 | BREDBAND2, SE 
     8972 |      1 | PLUSSERVER-AS, DE 
    23679 |      1 | NUSANET-AS-ID Media Antar Nusa PT., ID 
    31400 |      1 | ACCELERATED-IT, DE 
    17956 |      1 | WASEDA WASEDA University, JP 
    53421 |      1 | TROYOHIO-TROYSCHOOLS - Troy City School District, US 
     6703 |      1 | ALKAR-AS, UA 
    53831 |      1 | SQUARESPACE - Squarespace, Inc., US 
    12251 |      1 | INVISION - Invision.com, Inc., US 
     4808 |      1 | CHINA169-BJ China Unicom Beijing Province Network, CN 
    28972 |      1 | MSOFT-AS Jihlava, CZ 
    37153 |      1 | HETZNER, ZA 
    18638 |      1 | DHDC-CA - Datahive.ca, CA 
    18068 |      1 | ACROSS Dream Wave Shizuoka Co. Ltd., JP 
    44133 |      1 | IPAX-AS, AT 
     9008 |      1 | AS9008 Luxembourg, LU 
     9394 |      1 | CTTNET China TieTong Telecommunications Corporation, CN 
    13056 |      1 | RT-TMB-AS Tambov branch, RU 
    58400 |      1 | UNNES-AS-ID Universitas Negeri Semarang, ID 
    30478 |      1 | AVT - Affinity VoIP Telecom, Inc., US 
    54782 |      1 | AS-GMO - GMO-Z.com USA, INC, US 
    40034 |      1 | CONFLUENCE-NETWORK-INC - Confluence Networks Inc, VG 
     6830 |      1 | LGI-UPC formerly known as UPC Broadband Holding B.V., AT 
    23659 |      1 | HEITECH-AS-AP APNIC HEITECH ASN, MY 
    61380 |      1 | ENGINETPLUS-AS, RU 
    63545 |      1 | SPEEDYCLOUD Beijing SpeedyCloud Technologies Co.,Ltd., CN 
     9246 |      1 | GTA-AP Teleguam Holdings, LLC, GU 
    12637 |      1 | SEEWEB Web hosting, colocation and cloud services, IT 
     3216 |      1 | SOVAM-AS, RU 
    13776 |      1 | QX-NET-ASN-1 - QX.Net, US 
     7497 |      1 | CSTNET-AS-AP Computer Network Information Center, CN 
     2635 |      1 | AUTOMATTIC - Automattic, Inc, US 
    38156 |      1 | ROUTELINK-AS-ID Internet Service Provider, ID 
    17882 |      1 | ASN-MCS-AP 
    36024 |      1 | COLO4-CO - Colo4, LLC, US 
   131434 |      1 | SCOM-AS-VN Scom Technology Join stock company, VN 
    16735 |      1 | ALGAR TELECOM S/A, BR 
    32613 |      1 | IWEB-AS - iWeb Technologies Inc., CA 
    57010 |      1 | CLODO-AS, RU 
    10013 |      1 | FBDC FreeBit Co.,Ltd., JP 
    29550 |      1 | SIMPLYTRANSIT, GB 

Top 100 Countries
Country |  Count   
--------+-----------
     US |    220 
     DE |     28 
     JP |     17 
     EU |     17 
     CN |     16 
     GB |     12 
     RU |      9 
     CA |      8 
     FR |      7 
     NL |      5 
     IT |      5 
     ID |      4 
     SE |      4 
     BR |      3 
     TW |      3 
     BG |      2 
     PL |      2 
     VN |      2 
     CZ |      2 
     ES |      2 
     SI |      2 
     UA |      2 
     BD |      1 
     BE |      1 
     HU |      1 
     AT |      1 
     HK |      1 
     VE |      1 
     NO |      1 
     LU |      1 
     PG |      1 
     TH |      1 
     PH |      1 
     GU |      1 
     CO |      1 
     VG |      1 
     ZA |      1 
     AU |      1 
     MY |      1 
     MN |      1 
     SK |      1 
     KZ |      1 
     IL |      1 


Top 100 Networks
NW                |  Count | NetworkName 
------------------+--------+-----------------------------------
   45.55.192.0/18 |     15 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
    178.62.0.0/18 |     10 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
   104.236.0.0/18 |      9 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
  104.131.64.0/18 |      9 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
 128.199.192.0/18 |      6 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
   104.131.0.0/18 |      6 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
   107.170.0.0/17 |      6 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
     52.24.0.0/14 |      5 | AMAZON-02 - Amazon.com, Inc., US  
    85.214.0.0/15 |      5 | STRATO STRATO AG, DE  
 128.199.128.0/18 |      4 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
      52.4.0.0/14 |      4 | AMAZON-AES - Amazon.com, Inc., US  
     54.84.0.0/15 |      4 | AMAZON-AES - Amazon.com, Inc., US  
 192.241.240.0/20 |      4 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
     52.20.0.0/14 |      4 | AMAZON-AES - Amazon.com, Inc., US  
    45.55.32.0/19 |      3 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
 104.236.192.0/18 |      3 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
     52.88.0.0/15 |      3 | AMAZON-02 - Amazon.com, Inc., US  
     54.68.0.0/15 |      3 | AMAZON-02 - Amazon.com, Inc., US  
  159.203.80.0/20 |      3 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
    45.55.64.0/19 |      3 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
     95.85.0.0/18 |      3 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
     52.32.0.0/14 |      3 | AMAZON-02 - Amazon.com, Inc., US  
    144.76.0.0/16 |      3 | HETZNER-AS, DE  
    104.40.0.0/13 |      3 | MICROSOFT-CORP-MSN-AS-BLOCK - Microsoft Corporation, US  
   157.7.128.0/17 |      2 | INTERQ GMO Internet,Inc, JP  
    54.204.0.0/15 |      2 | AMAZON-AES - Amazon.com, Inc., US  
 188.166.240.0/20 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
  54.153.128.0/17 |      2 | AMAZON-02 - Amazon.com, Inc., US  
  54.255.128.0/17 |      2 | AMAZON-02 - Amazon.com, Inc., US  
  178.62.128.0/18 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
    61.219.0.0/16 |      2 | HINET Data Communication Business Group, TW  
   122.112.0.0/19 |      2 | CHINA169-BJ China Unicom Beijing Province Network, CN  
 188.226.128.0/17 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
   121.199.0.0/16 |      2 | CNNIC-ALIBABA-CN-NET-AP Hangzhou Alibaba Advertising Co.,Ltd., CN  
    54.153.0.0/17 |      2 | AMAZON-02 - Amazon.com, Inc., US  
    62.210.0.0/16 |      2 | AS12876, FR  
 192.241.160.0/19 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
    120.25.0.0/16 |      2 | CNNIC-ALIBABA-CN-NET-AP Hangzhou Alibaba Advertising Co.,Ltd., CN  
    120.24.0.0/16 |      2 | CNNIC-ALIBABA-CN-NET-AP Hangzhou Alibaba Advertising Co.,Ltd., CN  
      52.2.0.0/15 |      2 | AMAZON-AES - Amazon.com, Inc., US  
 107.170.160.0/19 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
    54.154.0.0/16 |      2 | AMAZON-02 - Amazon.com, Inc., US  
   146.148.0.0/17 |      2 | GOOGLE - Google Inc., US  
    160.16.0.0/17 |      2 | SAKURA-B SAKURA Internet Inc., JP  
   104.196.0.0/14 |      2 | GOOGLE - Google Inc., US  
 165.227.144.0/20 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
      52.8.0.0/16 |      2 | AMAZON-02 - Amazon.com, Inc., US  
  54.169.128.0/17 |      2 | AMAZON-02 - Amazon.com, Inc., US  
     52.16.0.0/15 |      2 | AMAZON-02 - Amazon.com, Inc., US  
     23.20.0.0/15 |      2 | AMAZON-AES - Amazon.com, Inc., US  
  133.130.64.0/18 |      2 | INTERQ GMO Internet,Inc, JP  
 104.236.128.0/18 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
   162.243.0.0/17 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
   104.28.16.0/20 |      2 | CLOUDFLARENET - CloudFlare, Inc., US  
  192.80.128.0/19 |      2 | ENZUINC-US - Enzu Inc, US  
     52.74.0.0/16 |      2 | AMAZON-02 - Amazon.com, Inc., US  
    87.230.0.0/19 |      2 | HOSTEUROPE-AS, DE  
   54.66.128.0/17 |      2 | AMAZON-02 - Amazon.com, Inc., US  
  46.101.128.0/17 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
  104.27.160.0/20 |      2 | CLOUDFLARENET - CloudFlare, Inc., US  
   54.251.64.0/18 |      2 | AMAZON-02 - Amazon.com, Inc., US  
  54.179.128.0/18 |      2 | AMAZON-02 - Amazon.com, Inc., US  
   104.154.0.0/15 |      2 | GOOGLE - Google Inc., US  
   178.254.0.0/19 |      2 | EVANZOAS, DE  
  198.199.64.0/20 |      2 | DIGITALOCEAN-ASN - Digital Ocean, Inc., US  
 178.238.230.0/23 |      1 | CONTABO to AS1299 announce AS34933, DE  
  213.136.76.0/23 |      1 | CONTABO to AS1299 announce AS34933, DE  
 202.162.207.0/24 |      1 | NUSANET-AS-ID Media Antar Nusa PT., ID  
 178.248.104.0/21 |      1 | LDEX, GB  
 157.112.144.0/20 |      1 | SAKURA-C SAKURA Internet Inc., JP  
   193.224.0.0/15 |      1 | HBONE-AS HUNGARNET, HU  
    61.221.0.0/16 |      1 | HINET Data Communication Business Group, TW  
    31.27.96.0/20 |      1 | VODAFONE-IT-ASN, IT  
   153.122.0.0/20 |      1 | ACROSS Dream Wave Shizuoka Co. Ltd., JP  
   151.248.0.0/21 |      1 | INTERNETBOLAGET, SE  
    24.242.0.0/15 |      1 | SCRR-11427 - Time Warner Cable Internet LLC, US  
     176.9.0.0/16 |      1 | HETZNER-AS, DE  
  202.58.182.0/24 |      1 | BINUS Bina Nusantara University, ID  
    52.200.0.0/13 |      1 | AMAZON-AES - Amazon.com, Inc., US  
    69.30.55.0/24 |      1 | AVT - Affinity VoIP Telecom, Inc., US  
    177.69.0.0/16 |      1 | ALGAR TELECOM S/A, BR  
  113.161.96.0/21 |      1 | VNPT-AS-VN VNPT Corp, VN  
  124.105.36.0/23 |      1 | IPG-AS-AP Philippine Long Distance Telephone Company, PH  
  198.71.232.0/21 |      1 | AS-26496-GO-DADDY-COM-LLC - GoDaddy.com, LLC, US  
  103.242.64.0/23 |      1 | SPEEDYCLOUD Beijing SpeedyCloud Technologies Co.,Ltd., CN  
    23.95.36.0/22 |      1 | AS-COLOCROSSING - ColoCrossing, US  
  27.147.136.0/21 |      1 | LINK3-TECH-AS-BD-AP Link3 Technologies Ltd., BD  
  107.191.48.0/22 |      1 | AS-CHOOPA - Choopa, LLC, US  
   185.8.156.0/22 |      1 | ENGINETPLUS-AS, RU  
 184.168.220.0/22 |      1 | AS-26496-GO-DADDY-COM-LLC - GoDaddy.com, LLC, US  
     52.65.0.0/16 |      1 | AMAZON-02 - Amazon.com, Inc., US  
    65.61.32.0/20 |      1 | INFO-IQTINC - InfoQuest Technologies, Inc., US  
 192.227.144.0/23 |      1 | AS-COLOCROSSING - ColoCrossing, US  
 213.186.192.0/19 |      1 | ALKAR-AS, UA  
     52.48.0.0/14 |      1 | AMAZON-02 - Amazon.com, Inc., US  
  194.226.61.0/24 |      1 | KIRZHACHTELECOM-AS, RU  
  202.171.41.0/24 |      1 | HEITECH-AS-AP APNIC HEITECH ASN, MY  
   153.128.0.0/11 |      1 | OCN NTT Communications Corporation, JP  
   191.232.0.0/13 |      1 | MICROSOFT-CORP-MSN-AS-BLOCK - Microsoft Corporation, US  
   84.242.64.0/19 |      1 | LGI-UPC formerly known as UPC Broadband Holding B.V., AT