211service.com
Enthält Internetwürmer
Die Verbreitung von Internetwürmern könnte frühzeitig gestoppt werden, indem Computer auf das Verhalten infizierter Hosts überwacht werden, so eine kürzlich in IEEE-Transaktionen für zuverlässiges und sicheres Computing . Obwohl es andere Methoden zum Schutz vor Würmern gibt, soll die neue Strategie die Störung der normalen Arbeitsabläufe der Benutzer minimieren, sagt Ness Shroff , Professor an der Fakultät für Elektrotechnik der Ohio State University, der an der Forschung beteiligt war. Die Forscher stellen sich vor, dass die Technik in Unternehmensnetzwerken eingesetzt wird, um Computer zu identifizieren, die unter Quarantäne gestellt und auf Infektionen überprüft werden müssen.
Internetwürmer können eingesetzt werden, um Denial-of-Service-Angriffe zu starten, die eine Website überfluten, sodass legitime Benutzer nicht darauf zugreifen können, oder Hintertüren installieren, die zum Erstellen von Botnets verwendet werden können . Eine große Anzahl infizierter Computer könnte den Internetverkehr erheblich verlangsamen, selbst wenn sich die Würmer nur weiter verbreiten.
Die Methode der Purdue University und Ohio State, die Verbreitung von Würmern zu verhindern, funktioniert hauptsächlich bei einer Klasse von Würmern, die das Internet wahllos auf der Suche nach anfälligen Host-Computern durchsucht, die sie infizieren können. Ein solcher Wurm war Code Red , der 2001 in weniger als 14 Stunden mehr als 359.000 Computer infizierte und schließlich einen geschätzten Schaden von 2,6 Milliarden US-Dollar verursachte. Obwohl es diese Art von Wurm schon seit einiger Zeit gibt, Kurt Rohloff , ein Wissenschaftler in der Gruppe für verteilte Systeme bei BBN-Technologien , sagt, dass es immer noch gefährlich ist. Dabei handelt es sich um eine sehr einfache Klasse von Würmern, die sehr einfach zu entwickeln und zu programmieren, aber gleichzeitig nicht so leicht einzudämmen sind, sagt er. Wenn wir diese relativ einfachen, aber immer noch problematischen Würmer verstehen könnten, könnten wir hoffentlich die so genannten hinterhältigen Würmer ansprechen.
Die Forscher stützen ihre Strategie auf ein neues Modell, das sie für die Verbreitung von Würmern entwickelt haben. Viele bestehende Modelle basieren auf einer Analogie zur Ausbreitung von Epidemien, sagt Shroff, aber sie sind in späteren Stadien einer Infektion genauer. Das Modell der Forscher wurde speziell auf Genauigkeit in den frühen Stadien der Infektion ausgelegt und zeigte, dass der Schlüssel zur erfolgreichen Verbreitung eines Wurms darin liegt, wie oft ein infizierter Host das Internet durchsucht, um neue Hosts zu finden infizieren.
Während sich andere Methoden zur Eindämmung von Würmern auf die Überwachung von Computern auf Änderungen in der Geschwindigkeit konzentriert haben, mit der sie das Internet von Moment zu Moment durchsuchen, sagt Shroff, dass dies die täglichen Aktivitäten der Benutzer beeinträchtigen kann. Die Scan-Raten schwanken stark. Wenn Sie also online gehen, scannen Sie möglicherweise viele Male innerhalb eines sehr kurzen Zeitraums und scannen dann überhaupt nicht mehr, sagt er. Wir waren der Meinung, dass die Scanrate zu restriktiv war und den normalen Betrieb des Netzwerks stören könnte. Durch die Überwachung des Scanvolumens über einen längeren Zeitraum sei es möglich, Würmer einzudämmen, während der Schwellenwert für normale Benutzer zu hoch gehalten werde, um einen Alarm auszulösen. Software könnte die Anzahl der Scans überwachen, die jeder Computer in einem Netzwerk sendet, und alle Computer unter Quarantäne stellen, die diese Anzahl überschreiten. Shroff hofft, dass durch diese Änderung der Kriterien für den Verdacht einer Infektion die Wahrscheinlichkeit verringert wird, dass legitime Scans des Internets als Wurmaktivität gekennzeichnet werden.
In gewisser Weise nutzen wir die Tatsache aus, dass dieser Wurm viele Dinge ausprobiert und viele Male vermisst, und jedes Mal, wenn er verfehlt, gibt er einige Informationen heraus, sagt Shroff. Obwohl das System für den Umgang mit Scan-Würmern entwickelt wurde, die wahllos nach verwundbaren Hosts suchen, haben die Forscher es auch für Würmer angepasst, die ihre Angriffe auf bestimmte lokale Netzwerke abzielen.
Shroff glaubt, dass das System am besten in Unternehmensnetzwerken eingesetzt werden könnte, insbesondere in Situationen, in denen zusätzliche Computer verfügbar sind, die eine Arbeitsbelastung abdecken könnten, während möglicherweise infizierte Computer untersucht werden. Für kleine Unternehmen oder Heimnetzwerke funktioniert dies möglicherweise nicht so gut, da die Unterbrechung eines Computers für die Benutzer zu große Störungen darstellen könnte, sagt er.
Rohloff sagt, er könne sich vorstellen, dass ein solches System effektiv ist, warnt aber: Der Voreingenommenheit wäre natürlich, dass es lokale Netzwerke vor Infektionen schützt, die bereits im Netzwerk vorhanden sind. Es würde nicht so viel dazu beitragen, Netzwerke vor Infektionen zu schützen, die von außen kommen. Er fügt hinzu, dass das Modell und die ersten Simulationen der Forscher zwar gut aussehen, er aber neugierig wäre, eine gründlichere Analyse zu sehen, wie oft das System einen Computer mit einem Wurm infiziert vermutet, wenn tatsächlich kein Wurm vorhanden ist.
Die Forscher von Purdue und Ohio State schlagen vor, dass zukünftige Arbeiten nach Wegen suchen könnten, um ihre Werkzeuge für immer gezieltere Würmer anzupassen. Shroff sagt, dass, während er und seine Kollegen sich jetzt darauf konzentrieren, Würmer auf der Ebene von Host-Computern zu stoppen, eine andere mögliche Richtung darin besteht, Software zu entwickeln, die es Routern ermöglicht, auf verdächtige Verkehrsmuster zu achten. Während ein solcher Ansatz die Überwachung einer relativ großen Anzahl von Computern von einem einzigen Punkt aus ermöglichen könnte, würde er jedoch auch erhebliche Änderungen in der Arbeitsweise von Routern erfordern. Während sie derzeit nur das Ziel des Internetverkehrs verfolgen, müssten sie auch damit beginnen, die Quelle zu verfolgen.