von Ralph Heidenreich , 88400 Biberach , Germany
Vergleichende Firewall Logfilogie 02.02.04
Das Internet, soviel weiß heute jeder, ist ein gefährlicher Ort. Kaum hat man eine ip-Adresse zugewiesen bekommen, pfeift auch schon die Firewall, so man denn eine hat. Auf meinem Rechner läft zu eine simpler Paketfilter (SuSE) , der auch brav sein Logfile schreibt. Ein einfacher Vergleich dieser Logfiles zeigt deutliche Veränderungen innerhalb eines Jahres.

Ports

Ports sind die Türen des Rechners nach aussen. Es gibt davon etwa 65 Tausend. Die ersten 1024 sind festgelegten Programmen zugeordnet, die restlichen kann der Benutzer verwenden, etwa um ins Internet zu gehen.
Von besonderer Bedeutung im diesem Text ist der Port 135, der im Microsoft Active Directory eine zentrale Rolle spielt, aber auch von etlichen Trojanern benutzt wird.

Protokolle

Die im wichtigsten Protokolle sind UDP, welches für die Namensauflösung Verwendung findet und
TCP, mittels dessen die Datenübertragung bewerkstelligt wird.

SYN-Flag

Das SYN-Flag wird im Netz verwendet, um einen TCP-Verbindungswunsch zu signalisieren.

Die Grafik zeigt die Häufigkeit von Firewall-logs pro Online-Stunde.

Der deutliche Anstieg von 20 auf etwa 100 Meldungen pro Stunde im Jahresvergleich kommt überwiegend von TCP Verbindungsversuchen auf Port 135.
Gegenüber der Flut von Meldungen auf Port 135 sind die restlichen Meldungen zahlenmäß kaum noch von Bedeutung.

Die angegriffenen Ports in meinem Logfile nach Häufigkeit:

  • 135 :71%
  • 137 : 9%
  • 445 : 3%
  • 6346: 3%
  • 6129: 2%
Unter zwei Prozent blieben die Ports:
21, 80, 139, 554, 1026, 1080, 1214, 1433, 1434, 3389, 4128, 4662, 4898, 4899, 12345 und 17300

Port 135

Die sinnlosen Versuche, meinen Linux-Rechner auf Port 135 zu kontaktieren, kommen zumeist nicht aus irgendwelchen entfernten Ecken des Netzes, sondern aus der Nachbarschaft.
Es scheint fast so, als quakten überall dieselben Frösche:
Hat die Telekom mir eine 62.227er Adresse zugeteilt, kommen die Anfragen zu drei Vierteln auch aus dem 62.227er Adressraum.
Habe ich eine 217er Adresse, kommen die weitaus meisten Verbindungsversuche von 217er Adressen.
Auch der Inhalt der Botschaften ist ziemlich uniform:
78 % schicken mir die OPT (020405B401010402).
Port 135 dient dem "Remote Procedure Call" Service, auf dem in Windows Umgebungen unter anderem das Active Directory aufbaut. Ende Juli 2003 tauchten Programme auf, die einen Fehler im Windows RPC-Dienst ausnützen, um wie es hieß Rechner zu kompromittieren. Kurz darauf hatte auch der Wurm Blaster diese Fähigkeit und verbreitete sich über Port 135. Betroffen waren vor allem winXP und win2000 Maschinen.

Schlussfolgerung

Für mich sieht es so aus, als seien diese Angriffe Kontaktversuche von infizierten Rechnern. Das ergibt sich meiner Meinung nach aus der Gleichförmigkeit des Vorgehens und der großen Häufigkeit der Ereignisse.
Aus den Source-Adressen ist weiter zu schließen, dass sehr viele Rechner im t-online Adressraum infiziert sind.
Sollte es sich wirklich nur um den Blaster-Wurm handeln, wäre dieser nach wie vor extrem verbreitet.
Möglicherweise beobachte ich auch gerade das Entstehen eines Trojaner-Chatrooms, wo sich Viren, Würmer und dergleichen zweck wechselseitigem Update kontaktieren.