世界を動かす技術を、日本語で。

Show HN: Knock-Knock.net – サーバーの扉を叩くボットを可視化する

2026年2月16日原文(knock-knock.net)

概要

  • KNOCK-KNOCK.NET は、インターネットサーバへのボット攻撃を可視化するサイト
  • リアルタイム でボット活動を観察可能
  • 過去の攻撃データや統計情報の提供
  • 攻撃元やよく使われるユーザー名・パスワードの分析
  • 問い合わせ先も案内

KNOCK-KNOCK.NETの概要

  • インターネット上で 保護されていないサーバ を公開した際に発生するボット攻撃の可視化サイト
  • サーバの ドアをノックするように 多数のボットがアクセスを試みる現象の観察
  • この現象は「 インターネットのバックグラウンド放射線」とも呼ばれる

主な機能

  • リアルタイム でボットによる攻撃の可視化
  • 攻撃の 履歴統計情報 の提供
    • 攻撃元の 地理的位置
    • よく使われる ユーザー名やパスワード のリスト
    • 最も多く攻撃を仕掛けている ISP(インターネットサービスプロバイダ)
    • 一部のケースでは、なぜそのユーザー名やパスワードが選ばれたかの 解説

使い方・楽しみ方

  • 攻撃の リアルタイム観察 によるセキュリティ意識の向上
  • サイバー攻撃の 傾向分析 や教育用途での利用
  • サイトへの 質問やコメント は指定の連絡先へ送信

Hackerたちの意見

OPです。サイト: https://knock-knock.net ポート22が開いてるサーバーは、SSHをブルートフォースしようとするボットにめちゃくちゃ攻撃されてるよ。接続を受け入れて、試された認証情報を記録して、3D地球儀のライブダッシュボードに表示するハニーポットを作ったんだ。面白いことに気づくと思うよ: - ボットはどこでも同じパスワードを試す — 「admin」、「123456」、「password」が定番。スペースボールのパスワードもトップ10に入ってるよ。 - 特定の国やISPがリーダーボードを支配してる - 攻撃は波のように来る — 1分間何もないと思ったら、1つのIPから50回のバーストが来たりする - ジョークパネルもあるよ、だって我慢できなかったから。子供たちが「誰があなたのコンピュータにログインしようとしてるの?」って聞いたのがきっかけ。スタックはPython(ハニーポット用にFastAPI + paramiko)、リアルタイム更新にRedis pub/sub、統計用にSQLite、可視化にglobe.glを使ってる。WebSocketで、ノックが発生するたびにブラウザにプッシュされるよ。全体で$6.75/年のVPSで動いてる。ドメインの方がサーバーより高い。ソース: https://github.com/djkurlander/knock-knock

いいね!これを多くの人が使ってくれるのを楽しみにしてるよ。みんなが自分のURLを./contribディレクトリに追加できるといいな。フィードストアから帰ったら、これをセットアップするかもしれない。

よくやった、OP。

これいいね。どのVPSサービスを使ってるの?シンプルなウェブアプリをデプロイするために小さなEC2インスタンスを立ち上げるのをやめたいんだ。

誰があなたのコンピュータにログインしようとしてるの? それが質問に答えるのにどう役立つと思う?最近はプロキシが簡単に手に入るから、回転してるとその背後に何があるか特定するのが難しいよね。

すごい、面白かった!シェアしてくれてありがとう。10年以上前にボットを追いかけてたことを思い出したよ。オランダがボットの王者で、次にアメリカが続くって感じだった。今もオランダが強いね。

いいプロジェクトだね!でも、https://objective-see.org/products/knockknock.html と knockd: https://wiki.archlinux.org/title/Port_knocking についても教えておきたかった。ちょっと差別化したいなら、一般的な名前だよ。

公開鍵認証だけでログインを許可するSSHサーバーについて何か知見はある?ボットはパスワードが使えないとわかるとすぐに去るのかな?

わお、めっちゃ美しいね、マジで。これ好きだわ!$6.75/年のVPSってどれ使ってるの?

美しいね。ユーザーがスループットや出現感を感じられる「特定のタイムラインを再生する」機能を追加することを考えたことある?Gourceがgitに対してやったみたいに。[1] https://gource.io/

これすごく興味深いんだけど、ほとんどのボットはすでに侵害されたサーバーで動いてるのかな?もしそうなら、オランダやDigital Oceanが一番多い組み合わせなの?普通の人が使ってるからかな、それとも他に理由があるの?

多くのボットは侵害されたサーバーだよ。DigitalOceanは確かに大きなISP/プロバイダーの一つだけど、もしASNのIPあたりのノックの比率を見たら、DigitalOceanがまだトップにいると思うよ。調べてみるね。プロバイダーは悪用されているIPをシャットダウンできるから。毎晩、攻撃をabuseIPDB.comに報告するスクリプトを回してるよ(knock-knockのGitHubリポジトリのextrasフォルダに含まれてる)。でも、プロバイダーによっては全然気にしないところもある。

Hacker Newsで議論の続きを見る