Details zur Wurmdrossel in XP SP2

Microsoft versucht mit Service Pack 2 für Windows XP die Ausbreitungsgeschwindigkeit von Würmern zu drosseln und limitiert die Zahl der gleichzeitigen Verbindungsanfragen. Ein Patch hebt die Sperre wieder auf.

In Pocket speichern vorlesen Druckansicht 796 Kommentare lesen
Lesezeit: 2 Min.

Wie bereits berichtet, versucht Microsoft mit Service Pack 2 für Windows XP die Ausbreitungsgeschwindigkeit von Würmern zu drosseln. Doch anders als zunächst vermutet, handelt es sich bei der Sperre nicht um ein Limit der gleichzeitig offenen Verbindungen. Statt dessen limitiert Microsoft die Zahl der gleichzeitig möglichen Verbindungsversuche. Überschreitet die Zahl der halboffenen TCP-Verbindungen, die gleichzeitig auf eine Bestätigung des Gegenübers warten, einen bestimmten Wert, erhält der Anwender die Fehlermeldung: "EventID 4226: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde". Laut Microsoft werden daraufhin neue Verbindungsversuche in eine Warteschlange gestellt, die dann aber deutlich langsamer abgearbeitet wird. Zusätzliche, noch nicht weiter spezifizierte Mechanismen sollen sicherstellen, dass der Anwender auf jeden Fall in der Lage ist, Updates oder Tools zum Entfernen eines Schädlings aus dem Web herunterzuladen.

Das Limit ist offenbar hart "verdrahtet"; sein Wert ist noch nicht bekannt. Erste Versuche lassen vermuten, dass er in der Grössenordnung von 10 liegt. Damit sollten "normale" Anwendungen keine Probleme bekommen, da erfolgreich aufgebaute Verbindungen nicht mitzählen. Aber Würmer wie Sasser, die auf Verdacht möglichst schnell möglichst viele zufällig ausgewürfelte Adressen kontaktieren, bremst dieser Mechanisimus aus. Vor allem die ins Leere laufenden Verbindungsversuche warten vergleichsweise auf einen Timeout. So sammeln sich schnell mehr als zehn gleichzeitig halboffene Verbindungen an -- und die Drossel schlägt zu.

Allerdings klagen auch bereits Anwender von Peer-to-Peer-Software über die beschriebene Fehlermeldung. Das dürfte darauf zurückzuführen sein, dass P2P-Programme auch offensichtlich nicht (mehr) vorhandene Gegenstellen immer wieder kontaktieren und damit ebenfalls viele halboffene Verbindungen produzieren. Die Log-Dateien vieler Firewalls sind voll von solchen wiederholten, sinnlosen Anfragen.

Doch die P2P-Gemeinde ist rege. Im Internet gibt es noch vor dem Erscheinen des Service Pack 2 einen ersten Patch, der dieses Limit aufheben soll. Er modifiziert laut Autor einige Bytes der Systemdatei TCPIP.SYS und ermöglicht damit wieder nahezu beliebig viele gleichzeitige Verbindungsversuche. Wir haben diesen Patch jedoch nicht getestet und können seinen Einsatz auch nicht empfehlen. (ju)