Schnüffler im weltweiten Datenstrudel

Gefährliches Grundrauschen im Internet

Peter Lahmann arbeitet seit 2002 in der IT-Sicherheit als Auditor und Berater und betreut heute das Sicherheitsmanagement von Kunden eines namhaften Cloud-Betreibers. Als Autor widmet er sich der Schnittstelle von unternehmerischen Anforderungen, Industriestandards und rechtlichen Rahmenwerken.
Für die Netzinhaber nutzlose IP-Pakete verschmutzen das weltweite Netz zunehmend. Manche Anfragen an das eigene LAN stellen sich dabei als alles andere als harmlos heraus.

Netzwerk-Kartographen, Hacker, Schlapphüte, Stümper. Im Internet werden nicht nur betriebsbedingte Verbindungen aufgebaut. In einer wissenschaftlichen Studie verdoppelte sich abwegiger Datenverkehr auf einem extra für Testzwecke aufgebauten Horchposten pro Jahr. Gleichzeitig wächst der gesamte Internetverkehr um nur 50 Prozent im Jahr, trotz Antrieb durch das Wachstum an Videoanwendungen.

Port-Scanner verursachen ein großes Datenvolumen
Port-Scanner verursachen ein großes Datenvolumen
Foto: Robert F. Balazik - shutterstock.com

Dieses Grundrauschen im Internet ist ein Phänomen. Größtenteils ist es auf Port-Scans zurückzuführen. Damit ist das Abtasten der Netzwerk-Ports an einer ausgedehnten Zahl von Host-Rechnern gemeint. Das Abhorchen des kompletten Adressraums einer regionalen Internet Registry ist dabei keine Seltenheit. Selbst ein Scan aller im weltweiten Netz erreichbaren Server ist mit der entsprechenden Ausrüstung relativ mühelos ausführbar.

Zunächst einmal lässt sich die Motivation solcher Scans recht einfach zusammenfassen. Man sammelt Informationen über die von den Rechnern angebotenen Dienste. Dazu wird eine Test-Nachricht an den Zielrechner geschickt und eine automatisierte Antwort veranlasst. Man lässt also die Computer miteinander sprechen. Vielfach prallen solche Anfragen bereits an der Firewall ab.

Aber selbst eine Abfuhr durch die Firewall kann für den Scanner aufschlussreiche Informationsschnipsel enthalten. Nicht nur der Scanner, auch auf der anderen Seite der Firewall kann man die entsprechenden Daten natürlich verwerten. Über die Masse solcher unerwünschten Anfragen wird man nicht selten erstaunt sein.

Das Problem ist die schiere Menge dieser Anfragen. Eine Studie aus dem Jahr 2010 hat gezeigt, dass selbst an gänzlich ungenutzte IP-Adressen bis zu 60Mbps an Datenverkehr aus dem Internet eintrudelt. An einem zu Testzwecken neu angemeldeten /8-Netzwerk-IP-Adressraum waren im Laufe einer einzelnen Woche IP-Pakete im zweistelligen Milliardenbereich adressiert. Werden beim Port-Scannen Schwachstellen im Computernetz entdeckt, ist der Computerwurm selten weit entfernt. Bei entsprechenden Experimenten dauert es nur 20 Minuten, bis ein offengelassener Port für den Netzwerkzugang gesichtet und die Server dahinter angegriffen wurden. Ausspähung und Angriff gehen also vielfach Hand in Hand.

Wer schnüffelt im Netz?

Aus dem Auf und Ab der gescannten Ports lassen sich gewisse Modeerscheinungen in der Hackerszene ablesen. Dazu kann man sich den Port 445 etwas genauer anschauen. Über diesen Port lassen sich SMB (Server Message Block) Sessions einrichten und dabei auch eine Schwachstelle in Windows Servern Betriebssystemen angreifen. Diesen Weg nahm beispielsweise die Ransonware Wannacry im Frühjahr 2017 um die Festplatten der angegriffenen Rechner zu verschlüsseln.

In den gleichen Port 445 schlug das Botnet Adylkuzz. Die gekaperten Rechner wurde dann allerdings nicht verschlüsselt, sondern zum Schürfen nach der Cryptocurrency Monero eingespannt. Um Nachahmer abzuhalten, schließt Adylkuzz höchstselbst die Lücke am SMB Port. Auch die Hochzeiten des Computerwurms Conflicker in den Jahren 2009 und 2010 war am Peak der Schein-Anfragen am Port 445 ablesbar.

An den UDP Ports 5060, 5061, 5070 und TCP Port 80 schlug Anfang 2011 das Pendel der verstärkten Scan-Aktivitäten aus. Die SIP-Scans suchten eine in Hackerkreisen populäre Schwachstelle im SIP-Protokoll für Internet Telefonie. Auch das Auftauchen von Botnets auf der Bedrohungslandkarte konnte ab 2004 am Verlauf von Port Scans abgelesen werden.

Zur Startseite