Bremse für Code Red (Update)

Der Wurm Code Red verbeitet sich, indem er Rechner mit mehr oder weniger zufällig ausgewählten IP-Adressen auf eine Sicherheitslücke testet und dann befällt. Dazu versucht er eine TCP-Verbindung zum Port 80 aufzubauen, auf dem typischerweise Web-Server laufen.

Dass sich Code Red so rasend schnell verbreitet, liegt hauptsächlich daran, dass er auf diese Weise in kurzer Zeit sehr viele Adressen scannen kann. Wird eine IP-Adresse nicht verwendet oder läuft auf dieser kein Web-Server, erhält der Wurm quasi sofort eine negative Rückmeldung in Form entsprechender Kontrollpakete (ICMP "Destination unreachable" oder TCP "Reset") und kann sich dem nächsten potentiellen Opfer zuwenden.

Doch das muss nach einer Idee von Tom Liston, die zunächst Mihnea Stoenescu umsetzte, nicht so sein. Das Tool CodeRedNeck antwortet auf Verbindungsanfragen ganz brav mit einer Bestätigung, sodass der eigentliche Verbindungsaufbau zustande kommt (3-Way-Handshake). Doch danach schaltet es einfach auf stumm. Der Angreifer schickt seine Anfrage an das vermeintliche Opfer – wartet, erhält aber keine Antwortet – versucht es noch einmal – und so weiter. Bis der Wurm merkt, dass die Verbindung tot ist, können statt der üblichen Sekundenbruchteile mehrere Minuten vergehen.

Eine große Anzahl solcher "grauer Löcher" könnte die Ausbreitung von Code Red und auch anderer Schädlinge effizient bremsen. Tom Liston hat mit CodeRedNeck eine Beispielimplementierung für Linux geschrieben, die man kostenlos für eigene Experimente herunterladen kann. Ein interessanter Nebenaspekt: Linux-Benutzer kümmern sich darum, die Ausbreitung eines Wurms zu stoppen, der ausschließlich Microsoft-Server befällt.

Im Übrigen kommt ein ähnliches Verfahren unter dem Namen Teergrube bereits seit einiger Zeit gegen Spammer zum Einsatz: Dabei bringt man unbenutzte Mail-Adressen in Umlauf, die von einem speziell präparierten Server gehostet werden. Versucht ein Spammer dort Mail abzuliefern, blockiert ihn der Server so lange wie möglich. (ju)