Gemeinsam gegen Angriffe aus dem Internet

Der freie Service DShield.org soll als "Distributed Intrusion Detection System" Firewall-Administratoren, aber auch Privatleuten Anhaltspunkte für Aktivitäten von potenziellen Angreifern aus dem Internet geben. DShield.org ist dazu auf die Einsendung von Firewall-Logs angewiesen (akzeptiert werden derzeit Linux 2.2.x und ipchains, das weitverbreitete ZoneAlarm sowie ein DShield-eigenes Format). Der Benutzer kann diese per Web-Interface oder Linux-Client an DShield.org schicken – ein Windows-Client befindet sich nach Angaben der Betreiber in der Entwicklung.

Anhand der übermittelten Firewall-Protokolle sollen Muster verdächtiger Aktivitäten – insbesondere "Distributed Denial of Service"-Attacken (DDoS) – frühzeitig erkannt werden. Derzeit beherbergt die Datenbank des noch jungen Projekts circa 40.000 unterschiedliche Quellen mit 5.000 potenziellen Angriffszielen.

Aufschlussreich sind insbesondere die Statistik der meist gescannten Ports sowie die Top 10 der aktivsten "Angreifer"-IP-Adressen. Diese zeigen, dass insbesondere die Windows-Dateifreigabe (Ports 137 bis 139) unter Beschuss steht. Die meisten dieser Scans scheinen dabei aus amerikanischen und niederländischen Dial-In-Netzwerken zu stammen. (vza)