Verteilte Suche nach Angreifer auf heise online

Der Heise Zeitschriften Verlag ruft Netzwerkadministratoren zur Mithilfe bei der Untersuchung der Denial-of-Service-Attacken gegen heise online auf. Insbesondere benötigen wir möglichst konkrete Hinweise auf Rechner, die an der Attacke aktiv beteiligt waren, um auf diesem Weg an das dazu benutzte Schädlingsprogramm zu gelangen.

Die Hauptwelle der Angriffe fand am 1. Februar zwischen 8:41 und 17:00 statt. Sie bestanden aus TCP-SYN-Paketen an Port 80 mit einer Gesamtgröße von 40 Byte und einer TCP-Header-Länge von Null. Die Pakete waren zunächst an 193.99.144.71 gerichtet, später an 193.99.144.85. Die Absenderadressen der Pakete waren gefälscht, selbst Adressen aus nicht vergebenen Bereichen wurden dabei verwendet. Parallel gab es zwischen 13:14 und 14:33 einen gleichartigen Angriff auf den Heise-Mailserver 193.99.145.50 auf Port 25.

Viele Firewalls monieren diese Pakete auf Grund des ungültigen TCP-Headers, im Accounting von Routern finden sich unter Umständen Häufungen von exakt 40-Byte-langen Paketen. Bitte senden Sie sachdienliche Hinweise an hinweise@heise.de. Auf Hinweise, die zur Ergreifung des Täters führen, hat der Verlag eine Prämie von 10.000 Euro ausgesetzt. (ju)