Portscans allein weisen nicht auf einen Hackerangriff hin

Bevorstehende Hackerangriffe sind entgegen einer landläufigen Überzeugung nicht vor allem daran zu erkennen, dass ein Rechner von einer bestimmten IP-Adresse aus auf offene Ports untersucht wird. Darauf hat Michel Cukier, Assistant Professor an der University of Maryland, hingewiesen. Lediglich fünf Prozent aller Hackerangriffe kündigen sich allein durch Portscans an, hat Cukier ermittelt.

Träten die Portscans jedoch zusammen mit anderen Scan-Aktivitäten auf – besonders mit der Suche nach Schwachstellen in der Software – sei das ein Alarmzeichen. Etwa drei Viertel aller Attacken kündigten sich in kombinierten Port- und Software-Scans an. Würden diese Untersuchungen von einer bestimmten IP-Adresse aus durchgeführt, sei die Wahrscheinlichkeit sehr hoch, dass von dieser Adresse später auch der Angriff komme.

Cukier und seine Studenten hatten für eine Studie ein spezielles Rechnernetz aufgesetzt, einen so genannten Honeypot. Das sind Rechner, die absichtlich nicht gepatcht werden, um das Verhalten von Hackern zu studieren. Die verwendeten Computer liefen mit Windows 2000. Etwa 25 Schwachstellen, die Microsoft in den Jahren 2000 bis 2004 eingeräumt hatte, wurden nicht geschlossen.

Ein Ergebnis der Studie war die relativ geringe Korrelation zwischen den Portscans und den Angriffen. Überraschend war laut Cukier zudem, dass Scans der Ports und der Software einfach unterschieden werden können – anhand der empfangenen Datenpakete. Scans der Software brauchten danach mindestens sechs bis zwölf Datenpakete, während für Portscans fünf und weniger Datenpakete verwendet wurden.

Die Studie mit dem Titel ‘An Experimental Evaluation to Determine if Port Scans are Precursors to an Attack’ steht online. Sie kann kostenfrei heruntergeladen werden.