| teltarif.de | MOBIL · DIENSTE · TOUR |
| Größtes deutschsprachiges Telekommunikations-Magazin * | |
|
||||||
|
||||||
| Festnetz | Internet | Mobilfunk | Handy & Co. |  |
Meldung | Meinung | Service | 26.05.2012 |
Wurm-Sensor30.04.2004
11:59 WormRadar erkennt und dokumentiert neue Würmer
Roger Thompson, annerkannter Antiviren-Experte, entwickelte ein Tool zum Erkennen von neuen Würmern. Das Programm namens WormRadar ist nur 505 KByte groß und muss nicht installiert, sondern nur gestartet werden.
WormRadar horcht nach dem Start an den üblichen Ports nach ungewöhnlichen Aktivitäten, etwa Wurm-Attacken oder Port-Scans. Zusätzlich simuliert WormRadar das Verhalten von einigen Trojanern wie Sub7 (Port 27374), Kuang (Port 17300) oder den Bagle FTP-Zugang auf Port 2745. Auch einige Server, etwa Apache, IIS 5.0 oder MS-SQL7 können als Simulationen Angreifer in die Falle locken. Tritt ein solches Ereignis auf und erkennt WormRadar es, wird es lediglich protokolliert. Richtig aktiv wird WormRadar jedoch erst, wenn es eine Attacke bemerkt, die es nicht erkennen kann. Eine solche unbekannte Attacke könnte von einem neuen Wurm oder einem modifizierten, bekannten Wurm stammen. Der Angriff wird protokolliert und von Zeit zu Zeit an den Server von WormRadar gesendet. Der Server sammelt so die Daten aller Clients und generiert daraus eine Grafik der häufigsten Attacken. Bekannte Attacken sind dabei grün gekennzeichnet, unbekannte (und damit interessante) rot. Die Bezeichnungen lassen sich leicht aufschlüsseln: "t2745unk" ist eine TCP-basierte ("t") Attacke auf Ports 2745 und bislang unbekannt ("unknown"). Ein führendes "u" steht für UDP, bekannte Attacken werden durch ihren Namen gekennzeichnet. Allerdings sollte man das Tool nicht blind installieren. Im Grunde ist der Einsatz in einer recht gefährlichen Form sinnvoll: als Honeypot mit direkter Verbindung zum Internet. Hinter einer Firewall werden Zugriffe von außen sowieso abgeblockt (oder so sollte es zumindest sein). Auch ist nicht so ganz klar, was WormRadar eigentlich erschnüffelt und an den Heimatserver schickt. Schließlich ist auch der Sourcecode ist nicht offengelegt, wie es bei anderen ähnlichen Projekten üblich ist (am bekanntesten ist hier wohl das "Distributed Intrusion Detection System" D-Shield.org). Eine Probeinstallation von WormRadar und die anschließende Analyse von 24 Stunden Netzwerkverkehr offenbarte auch Kontakte zu einer IP-Adresse, die definitiv einem Spammer zugeordnet werden kann. Das kann Zufall sein, macht aber zumindest stutzig. Michael Plura
Anzeige:
Weitere News vom 30.04.2004:
- Chaos-Tarife bei Callax-Töchtern |
|
Günstig surfen
teltarif.de-Breitband-Rechner
Schnell surfen
Tipps und Tricks
Internet-by-Call-Tarifrechner Der Mobilfunk-Daten-Rechner Aktuelle DSL-Flatrates Kabel-Internet-Tarife Überblick: LTE-Tarife Tarife: Satelliten-Internet teltarif-Tarifübersichten
DSL beschleunigen
Internet-Ratgeber
Internet-Dienste
Alles zu Internet by Call Kostenlos surfen SMS kostenlos Freie Domains finden E-Mail: POP- und IMAP-Daten Freemailer im Überblick
Werbung
Internet-Anbieter
|
||||||||||||||||
Alle Texte und Tabellen © 1997 - 2012 teltarif.de Onlineverlag GmbH
[Homepage] · [Unternehmen] · [Impressum/AGB/Ihre Daten] · [Feedback] · [Mediadaten] · [Partnerprogramm] · [Presse] · [Jobs] *) teltarif.de registrierte zuletzt 1 190 000 Unique User pro durchschnittl. Monat Quelle: teltarif.de: AGOF internet facts 2012-01, Erwachsene ab 14 Jahre | ||||||||||||||||||
