Einzelne Rechner scannen im Internet auch in den hintersten Winkeln nach potenziellen Opfern. Wer auf diese virtuellen Radarwellen reagiert, ist auch schon im Visier der Angreifer. Der Artikel schildert die Methoden aus der Praxissicht einer Sicherheitsfirma.
Mancher probiert es einfach überall. Er schickt an alle möglichen Rechner im Internet Pakete und hofft auf Antworten. Dabei ist es ihm zunächst gleichgültig, ob er eine korrekte Antwort erhält oder nur "falsch verbunden". Reaktion ist Reaktion und er schließt daraus: Unter dieser Adresse ist jemand zu erreichen und es gibt vermutlich etwas zu holen. Verhindern lässt sich diese virtuelle Radar-Überwachung nicht, aber man kann sich durchaus tarnen.
Interessant ist die Frage, woher die Angriffe kommen. Stammen sie in erster Linie von Dial-up-Verbindungen, deren User nur mal den neuesten Scanner testen wollen? Ist es der neugierige Nachbar? Oder sind eher groß angelegte Scans über weite Adressbereiche üblich? Um dieser Frage auf den Grund zu gehen, haben wir die Logdateien vieler Kunden verglichen und ausgewertet.
Dabei stellte sich heraus, dass die meisten Angriffe nicht nur einzelne Rechner treffen, in Zeiten schneller Leitungen und Flatrates geschieht das Abgrasen flächendeckend. Zufallsverfahren zur Auswahl der Zieladressen kommen in den seltensten Fällen vor, meist werden die Netze einfach der Reihe nach durchsucht. In einem Fall ließ sich nachweisen, dass dazu ein Durchsatz von 1,7 MByte pro Sekunde nötig war (also 6,25 GByte pro Stunde) - und das von jenseits des Atlantiks aus.
Die Angriffe kommen aus allen Teilen der Welt. Neben dem erwarteten Ergebnis, dass Nordamerika stark vertreten ist (siehe Kasten "Auswertung"), überrascht es doch etwas, wie viele Scans aus dem asiatischen Raum stammen. Osteuropa fällt dagegen stark ab.
Rechner in Deutschland werden vor allem von Deutschland aus angegriffen. Die hierzulande bei Flatrates übliche Zwangstrennung nach 24 Stunden verhindert weiter gehende Nachweise, so dass die neugierigen Zeitgenossen scheinbar nur jeweils zwei bis vier unserer Kunden gleichzeitig scannen.
Die Daten legen aufgrund der zeitlichen Übereinstimmung und der sich ähnelnden IP-Adressen aber einen anderen Schluss nahe. Die Quellen mit dynamischer IP-Adresse sind auch der Regelfall, nur sehr selten stammen die Scans von einem Rechner mit fester Adresse und korrektem Reverse-Mapping im DNS.
Wer nun hofft von den Netzbetreibern Hilfe zu erhalten, der wird wohl eine Enttäuschung erleben. Eine Mail an die verschiedenen Provider der betroffenen Firmen mit der Bitte um Sperrung einer bestimmten festen IP-Adresse, die in ihren Attacken besonders bösartig war, wurde nur von T-Online (abschlägig) beantwortet, alle anderen Provider reagierten überhaupt nicht.
Man ist also auf sich gestellt. Als Gegenmaßnahmen bleibt vor allem, möglichst unauffällig zu sein, um nicht in einer zweiten Welle näher untersucht zu werden. Der Angreifer hat in der Regel keine Aversionen gegen das jeweilige Unternehmen, sondern ist auf der Suche nach beliebigen Opfern.
Solange ein Opfer aber gar nicht auf die Scan-Pakete antwortet, ist es für den Angreifer auch nicht zu sehen und damit praktisch nicht vorhanden. Es versteckt sich gewissermaßen. Steht ein Rechner ohne Firewall im Netz oder ist diese schlecht konfiguriert, gibt es ein paar unwillkürliche Reaktionen, die der Rechner von sich gibt und aus denen ein Angreifer viele Rückschlüsse ziehen kann. Diese Reflexe gilt es zu unterdrücken.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
