Portscans über ganze Netze: Quellen und Gegenmaßnahmen

Aus Linux-Magazin 03/2002

Portscans über ganze Netze: Quellen und Gegenmaßnahmen

Von

Einzelne Rechner scannen im Internet auch in den hintersten Winkeln nach potenziellen Opfern. Wer auf diese virtuellen Radarwellen reagiert, ist auch schon im Visier der Angreifer. Der Artikel schildert die Methoden aus der Praxissicht einer Sicherheitsfirma.

Mancher probiert es einfach überall. Er schickt an alle möglichen Rechner im Internet Pakete und hofft auf Antworten. Dabei ist es ihm zunächst gleichgültig, ob er eine korrekte Antwort erhält oder nur “falsch verbunden”. Reaktion ist Reaktion und er schließt daraus: Unter dieser Adresse ist jemand zu erreichen und es gibt vermutlich etwas zu holen. Verhindern lässt sich diese virtuelle Radar-Überwachung nicht, aber man kann sich durchaus tarnen.

Interessant ist die Frage, woher die Angriffe kommen. Stammen sie in erster Linie von Dial-up-Verbindungen, deren User nur mal den neuesten Scanner testen wollen? Ist es der neugierige Nachbar? Oder sind eher groß angelegte Scans über weite Adressbereiche üblich? Um dieser Frage auf den Grund zu gehen, haben wir die Logdateien vieler Kunden verglichen und ausgewertet.

Flächendeckende Scans

Dabei stellte sich heraus, dass die meisten Angriffe nicht nur einzelne Rechner treffen, in Zeiten schneller Leitungen und Flatrates geschieht das Abgrasen flächendeckend. Zufallsverfahren zur Auswahl der Zieladressen kommen in den seltensten Fällen vor, meist werden die Netze einfach der Reihe nach durchsucht. In einem Fall ließ sich nachweisen, dass dazu ein Durchsatz von 1,7 MByte pro Sekunde nötig war (also 6,25 GByte pro Stunde) – und das von jenseits des Atlantiks aus.

Die Angriffe kommen aus allen Teilen der Welt. Neben dem erwarteten Ergebnis, dass Nordamerika stark vertreten ist (siehe Kasten “Auswertung”), überrascht es doch etwas, wie viele Scans aus dem asiatischen Raum stammen. Osteuropa fällt dagegen stark ab.

Rechner in Deutschland werden vor allem von Deutschland aus angegriffen. Die hierzulande bei Flatrates übliche Zwangstrennung nach 24 Stunden verhindert weiter gehende Nachweise, so dass die neugierigen Zeitgenossen scheinbar nur jeweils zwei bis vier unserer Kunden gleichzeitig scannen.

Die Daten legen aufgrund der zeitlichen Übereinstimmung und der sich ähnelnden IP-Adressen aber einen anderen Schluss nahe. Die Quellen mit dynamischer IP-Adresse sind auch der Regelfall, nur sehr selten stammen die Scans von einem Rechner mit fester Adresse und korrektem Reverse-Mapping im DNS.

Kaum Hilfe vom Provider

Wer nun hofft von den Netzbetreibern Hilfe zu erhalten, der wird wohl eine Enttäuschung erleben. Eine Mail an die verschiedenen Provider der betroffenen Firmen mit der Bitte um Sperrung einer bestimmten festen IP-Adresse, die in ihren Attacken besonders bösartig war, wurde nur von T-Online (abschlägig) beantwortet, alle anderen Provider reagierten überhaupt nicht.

Man ist also auf sich gestellt. Als Gegenmaßnahmen bleibt vor allem, möglichst unauffällig zu sein, um nicht in einer zweiten Welle näher untersucht zu werden. Der Angreifer hat in der Regel keine Aversionen gegen das jeweilige Unternehmen, sondern ist auf der Suche nach beliebigen Opfern.

Solange ein Opfer aber gar nicht auf die Scan-Pakete antwortet, ist es für den Angreifer auch nicht zu sehen und damit praktisch nicht vorhanden. Es versteckt sich gewissermaßen. Steht ein Rechner ohne Firewall im Netz oder ist diese schlecht konfiguriert, gibt es ein paar unwillkürliche Reaktionen, die der Rechner von sich gibt und aus denen ein Angreifer viele Rückschlüsse ziehen kann. Diese Reflexe gilt es zu unterdrücken.

Ruhig bleiben

Manche Firewall-Administratoren halten es für eine gute Idee, auf bestimmte Pakete mit einem ICMP-Rejekt-Paket zu reagieren: »iptables … -j REJECT«. Diese Antwort sagt aus, dass der Dienst nicht verfügbar ist. In einigen Fällen ist dies wichtig und verhindert lange Timeout-Wartezeiten, bei Scans ist es aber kontraproduktiv. Der Reject sollte also nur im internen Netz und auch hier sparsam eingesetzt werden.

Unwillkürlich reagiert ein Rechner normalerweise auf ein Ping (Echo Request, ICMP-Typ 8) mit einem Pong (Echo Reply, ICMP-Typ 0). Wer nicht auffallen will, sollte auf dieses Pong verzichten, das Ping aber dennoch in seinen Logdateien protokollieren. Wenn die Firewall so eingestellt ist, dass nur speziell erlaubte Pakete die Firewall verlassen dürfen, dann geschieht dies schon automatisch. Allerdings ist das völlige Verstummen für Diagnosezwecke ungünstig. Zu bekannten festen IP-Adressen des eigenen Netzes kann man die Antwort also wieder zulassen.

Abbildung 1: Die meisten Scans auf Rechner in Deutschland stammen aus Europa (RIPE NCC). An zweiter Stelle liegt der asiatisch-pazifische Raum (APNIC), Nordamerika (ARIN) folgt erst an dritter Stelle.

Abbildung 1: Die meisten Scans auf Rechner in Deutschland stammen aus Europa (RIPE NCC). An zweiter Stelle liegt der asiatisch-pazifische Raum (APNIC), Nordamerika (ARIN) folgt erst an dritter Stelle.

Tricks mit den TCP-Flags

Ein Ping und die Reaktion darauf sagen nur aus, ob ein Rechner am Netz ist, aber noch nichts über die angebotenen Dienste. Aber auch diese lassen sich ermitteln: Kommen an einem TCP-Port Pakete an und lauscht kein Prozess auf diesem Port, schickt der TCP/IP-Protokollstack ein Reset-Paket zurück, also ein TCP-Paket mit gesetztem RST-Flag. Auch diese Antwort sollte unterdrückt werden, da sie zwei wichtige Informationen enthält: Hier ist jemand und auf diesem Port wird nichts getan.

Nicht zu viel filtern

Sind an der Firewall nicht-privilegierte Ports freigeschaltet, kann sie nicht pauschal alle Reaktionen unterdrücken. Der Zielport für Datenverbindungen wird schließlich erst während der FTP-Sitzung über den Kontrollkanal ausgehandelt, eine Verbindung zu diesem Port muss also möglich bleiben. Als Ausweg in diesem Fall bleibt, in einer der letzten Regeln ausgehende Pakete mit einem gesetzten RST-Flag zu verwerfen.

Ein Spezialfall der letzten Kategorie ist das Fälschen einer Quittung im TCP-Verbindungsaufbau, genauer der Quittung des Zielrechners (SYN+ACK gesetzt). Der Scanner tut dabei so, als hätte die Gegenseite (also das Angriffsziel) die Verbindung initiiert und er selbst würde nur darauf antworten. Schlecht eingestellte Firewalls melden diese Angriffsart nicht einmal und der Angreifer bleibt unentdeckt. Er hat aber gleichzeitig die Information, ob dieser Port aktiv ist (über die Reset-Pakete).

Abbildung 2: Wie viele unterschiedliche Firmen trifft ein einzelner Scan? Die oberen beiden Zeilen sind verkürzt dargestellt: Immerhin 3878 hatten im Messzeitraum nur je zwei verschiedene Unternehmen untersucht.

Abbildung 2: Wie viele unterschiedliche Firmen trifft ein einzelner Scan? Die oberen beiden Zeilen sind verkürzt dargestellt: Immerhin 3878 hatten im Messzeitraum nur je zwei verschiedene Unternehmen untersucht.

Tarnen ist nicht immer möglich

Wenn ein Dienst unbedingt von außen zugänglich sein muss, dann ist es natürlich nicht möglich, alle Reaktionen zu unterdrücken. Mit den kombinierten Mechanismen aus[1] ist es aber möglich, einen Angreifer zu sperren, bevor er die IP-Adresse der Firewall erreicht: Meist liegen einige Sekunden zwischen den Scans unterschiedlicher Ziele, genug Zeit also dafür, einen Angreifer zu erkennen und auch von den restlichen Diensten auszusperren.

Bei aller Vorsicht ist es sehr zu empfehlen, wenigstens mit den gängigen Security-Scannern[2] seinen eigenen Rechner aus dem Internet heraus zu testen – damit lässt sich auch die Nicht-Reaktion weiter optimieren. Wenn Sie es nicht machen, macht es bestimmt ein Angreifer für Sie.

Fazit

Mit wenigen einfachen Maßnahmen kann man sich gegen Internet-Scans wappnen. Für einen weiter gehenden Schutz ist die Kombination mehrerer Techniken nötig, die sehr aufwändig werden kann. Doch schon die geschilderten Vorkehrungen reichen aus, um für die meisten neugierigen Blicke unsichtbar zu sein, und schützen damit vor weiteren Untersuchungen. (fjl)

Auswertung

Einer IP-Adresse ist nicht anzusehen, zu welcher Region der Erde sie gehört – im Internet gibt es keine Länder-Vorwahlen. Auch die DNS-Einträge sind nur wenig hilfreich. Abhilfe kommt von der IANA, der Internet Assigned Numbers Authority. Sie veröffentlicht eine Liste[3], die dem ersten IP-Adressbyte einen geographischen Raum und einen Provider zuordnet. Für die meisten Netze ist wieder eine Vergabestelle zuständig, für Asien und den pazifischen Raum das APNIC, ARIN für Nordamerika und RIPE NCC für Europa.

Die genaue geographische Zuordnung einer einzelnen IP-Adresse ist damit aber auch nicht möglich, die Adressblöcke werden teilweise wieder international vergeben. Immerhin kann Traceroute mit DNS weitere Details ermitteln, etwa dass die meisten europäischen IP-Adressen in Deutschland beheimatet sind.

In Abbildung 1 sind jene Adressblöcke enthalten, in denen mehr als 50 Scans auf die untersuchten Netze ihren Ursprung finden. Aus den Zahlen ist sehr schön zu sehen, dass Europa erwartungsgemäß mit insgesamt 3206 Scans führt, gefolgt vom asiatisch-pazifischen Raum (1222) und Nordamerika (903).

Auch die Frage, wie groß die gescannten Netzbereiche jeweils sind, führt zu interessanten Antworten. Abbildung 2 zeigt, dass die meisten Scans nur auf wenige Unternehmen zielen, etwa 3878 Scan-Vorgänge von jeweils einer festen IP-Adresse auf Rechner in zwei verschiedenen Firmen. Drei Unternehmen in einem einzelnen Scan untersuchen dann nur noch 1081 Angreifer. Die größeren Netzbereiche werden von immer weniger Angreifer abgesucht.

Auffällig ist die Häufung von immerhin 15 Rechnern am Ende der Statistik, die 27 verschiedene Firmen angegriffen haben (übrigens immer dieselben Ziele). Es handelt sich also möglicherweise nicht nur um dasselbe Programm, sondern auch um den identischen abgesuchten Adressraum. Diese angreifenden Rechner benutzen dynamisch zugeteilte IP-Adressen und sind zudem geographisch verteilt, der Scan fand über mehrere Wochen hinweg statt. Die Art des Angriffs war immer gleich: ein bis acht Bestätigungspakete für das Öffnen einer TCP-DNS-Verbindung (SYN + ACK, Port 53). Damit lässt sich feststellen, ob der angegriffene Rechner einen DNS-Server betreibt.

Typische Scan-Methoden

Bei der Auswertung einer großen Anzahl aktueller Logdateien zeigte sich, dass die Angreifer vor allem folgende Verfahrensweisen einsetzen:

  • Ping mit normaler Paketlänge, mit großer Paketlänge (1492 oder 1500 Bytes) sowie Ping mit Typ 13 (Timestamp).
  • Gefälschtes TCP-Handshake-Paket (Flags SYN und ACK gesetzt) auf Port 53 des Zielrechners.
  • Direkte DNS-Anfrage über UDP an die Zieladresse.
  • SSH-Verbindungsaufbau (SYN-Paket) mit Quell- und Zielport 22.
  • FTP-Verbindungsversuch auf Port 21 mit Quellport 21.
  • Weitere Versuche, um Verbindungen aufzunehmen: HTTP (Port 80), Telnet (23), RPC (111), NNTP (119), SNMP (161), LPD (515), Socks (1080), Squid (3128) oder HTTP-Proxy (8080).
  • Auch ungewöhnliche, normalerweise nicht benutzte Ports werden probiert, zum Beispiel Zielport 1 oder 4 und offenbar zufällig ausgewählte Ports über 1024.
  • Angreifer untersuchen häufig auch, ob bereits Hintertüren von Würmern oder Trojanischen Pferden bei ihren Opfern zu finden sind.

Keine einzelne Angriffsart bringt es dabei auf mehr als fünf Prozent Anteil an der Gesamtzahl. Führend sind HTTP-, DNS- und SMTP-Verbindungsversuche, dann folgen RPC und Ping. Pro Ziel schickt der Angreifer meist nur wenige Pakete, dann probiert er die nächste Adresse. Auch mehrere große amerikanische Internet-Unternehmen versuchen inzwischen bei kostenlosen Downloads ihrer Software mehr über die Kunden zu erfahren, als diese preisgeben möchten. Wenn der Reverse Lookup (IP-Adresse vorhanden, Name gesucht) nicht erfolgreich ist, kontaktiren sie die IP-Adresse direkt mit DNS über TCP — in der Hoffnung, dass auf dieser Maschine ein eigener Name-Server läuft.

Infos

[1] Frank Bernard, “Süße Versuchung”, Linux-Magazin 1/02, S. 68.

[2] Siehe Beitrag von Viola Bräuer über Penetrationstests in diesem Heft

[3] IP-Adressbereiche: [http://www.iana.org/assignments/ipv4-address-space]

Der Autor

Frank Bernard hat sich mit seiner Firma Fbit [http://www.fbit.de] auf Internet-Sicherheitstechnik spezialisiert.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Verwandte Artikel

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben