Honeypots finden

Lain · 29. März 2006

Verfahren zum Aufspüren von Honeypots entwickelt
Honeypots verraten sich durch falsche Antwort auf Pings

Der Informatikstudent Amir Alsbih hat ein Verfahren entwickelt, um so genannte Honeypots aufzuspüren. Dies sind spezielle Server, die in einem Netzwerk aufgestellt sind, um die Vorgehensweise von Hackern zu studieren. Doch diese identifizieren sich unter Umständen selbst.
ANZEIGE
Honeypots sind Server, die Netzwerkdienste wie Mailserver simulieren. Da sie dem berechtigten Netznutzer nicht bekannt sind, spricht dieser sie nicht an. Ein Hacker stößt beim Überprüfen von Schwachstellen im Netzwerk jedoch zwangsläufig auf den vermeintlich unsicheren Honeypot und nimmt dessen Dienste in Anspruch. Dabei merkt er allerdings nicht, dass er sich auf keinem echten Server befindet. Der Honeypot protokolliert währenddessen seine Vorgehensweise.

Häufig verfügen die Honeypots dabei auch über so genannte Honeywalls. Diese überwachen den Traffic eines Honeypots und verhindern, dass von diesem aus Angriffe gestartet werden.

Der Informatikstudent Amir Alsbih hat nun jedoch bei Tests in einem Honeynet eine Schwachstelle entdeckt, durch die Hacker diese Systeme identifizieren können. Dafür reicht es, einem System einen Ping zu schicken, an den ein Shellscript angehängt ist. Möglich ist das beispielsweise mit "hping2".

Das gesendete ICMP-Paket kann dann mittels Werkzeugen wie Tcpdump und Ethereal mit der Antwort des Servers verglichen werden. Unterscheiden sich die beiden, handelt es sich um einen mit einer Honeywall gesicherten Honeypot. Der Angreifer wird dieses System meiden und tappt so nicht in die Falle. So kann er weiter im Netzwerk nach Schwachstellen suchen, ohne dass ein Honeypot seinen Angriff meldet.

Alsbih beschreibt das Verfahren näher in einem PDF-Dokument, das er auf seiner Homepage veröffentlicht hat. (js)

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle: http://www.golem.de/0603/44334.html

Gerade gelesen, vielleicht kann der eine oder andere von euch damit ja was anfangen ;-) Generell klingt das wie eine gute Möglichkeit, sich vor Honeypots zu schützen, oder nicht?

Anzeige

Crack02 · 29. März 2006

dauert bestimmt ned lang, bis das honeypot project ne neue version rausbringt und die schwachstelle behebt.

moep_rush · 29. März 2006

für den typischen RR user hat hat das mal sowieso keine bedeutung...glaube kaum das sich hier irgendwelches hackergetummel sammelt und hier die hack section durchliest...wer das wirklich ist weis es schon ^^

pubmarek · 29. März 2006

Ich glaube die meisten wissen nochnichtmals was ein Honeypot ist, und ich mein, jeder sollte langsam verstehen dass ein Stück Software mit Software zu knacken ist ...

aber habta euch mal das PDF durchgelesen? Also wirklich was neues ist das wie schon gesagt nicht! Dieser Student erkennt n Honeypot weil der Honeypot quasi n Angriff wieder rausgehend "blockiert" ... ist das wirklich so eine Schlagzeile wert? Doch eher nicht oder?

moep_rush · 30. März 2006

nö,

aber die HP von Amir Alsbih ist immer mal einen klick wert

http://www.informatik.uni-freiburg.de/~alsbiha/code.htm

er hat z.b. als erster ein rootkit für kernel 2.6 geschrieben obwohl ab 2.6 die systemcall tabelle nicht mehr exportiert wird und d.h. die adressen nicht mehr bekannt sind

mfg moep

Nützliche Suchen

Honeypots finden

Videos zum Themenbereich