Verfahren zum Aufspüren von Honeypots entwickelt

Honeypots verraten sich durch falsche Antwort auf Pings

Der Informatikstudent Amir Alsbih hat ein Verfahren entwickelt, um so genannte Honeypots aufzuspüren. Dies sind spezielle Server, die in einem Netzwerk aufgestellt sind, um die Vorgehensweise von Hackern zu studieren. Doch diese identifizieren sich unter Umständen selbst.

Artikel veröffentlicht am , Julius Stiebert

Honeypots sind Server, die Netzwerkdienste wie Mailserver simulieren. Da sie dem berechtigten Netznutzer nicht bekannt sind, spricht dieser sie nicht an. Ein Hacker stößt beim Überprüfen von Schwachstellen im Netzwerk jedoch zwangsläufig auf den vermeintlich unsicheren Honeypot und nimmt dessen Dienste in Anspruch. Dabei merkt er allerdings nicht, dass er sich auf keinem echten Server befindet. Der Honeypot protokolliert währenddessen seine Vorgehensweise.

Stellenmarkt
  1. Geschäftsführer/CSO (m/w/d) für den Bereich Software (Vertrieb, Service und Support)
    über Baumann Unternehmensberatung, Großraum Köln
  2. IT Projektmanager Infrastruktur (m/w/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
Detailsuche

Häufig verfügen die Honeypots dabei auch über so genannte Honeywalls. Diese überwachen den Traffic eines Honeypots und verhindern, dass von diesem aus Angriffe gestartet werden.

Der Informatikstudent Amir Alsbih hat nun jedoch bei Tests in einem Honeynet eine Schwachstelle entdeckt, durch die Hacker diese Systeme identifizieren können. Dafür reicht es, einem System einen Ping zu schicken, an den ein Shellscript angehängt ist. Möglich ist das beispielsweise mit "hping2".

Das gesendete ICMP-Paket kann dann mittels Werkzeugen wie Tcpdump und Ethereal mit der Antwort des Servers verglichen werden. Unterscheiden sich die beiden, handelt es sich um einen mit einer Honeywall gesicherten Honeypot. Der Angreifer wird dieses System meiden und tappt so nicht in die Falle. So kann er weiter im Netzwerk nach Schwachstellen suchen, ohne dass ein Honeypot seinen Angriff meldet.

Alsbih beschreibt das Verfahren näher in einem PDF-Dokument, das er auf seiner Homepage veröffentlicht hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Connect-App  
CDU zeigt offenbar Hackerin nach Melden von Lücken an

Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
Artikel
  1. Virtual Reality: Sony will Hybridspiele für nächste Playstation VR
    Virtual Reality
    Sony will Hybridspiele für nächste Playstation VR

    Ein Modus für klassische Monitore und einer für Virtual Reality: Das plant Sony laut einem Leak für "Next Gen Playstation VR".

  2. Kritik der Community: Microsoft schaltet Kommentare unter Windows-11-Video ab
    Kritik der Community
    Microsoft schaltet Kommentare unter Windows-11-Video ab

    In einem Youtube-Video verteidigt Microsoft die Bedingungen von Windows 11. Die Community ist außer sich, Kommentare werden geblockt.

  3. CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
    CDU-Sicherheitslücke
    Juristische Drohungen schaden der IT-Sicherheit

    Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
    Ein IMHO von Hanno Böck

somefish 10. Sep 2006

naja.. so ganz ist das ja nicht richtig... er hats am rande mal mitbekommen als ich mit...

m*sh 30. Mär 2006

Danke Zugegeben in der heutigen Arbeitswelt lastet auf vielen Menschen ein...

DW 30. Mär 2006

na das nenne ich mal klasse - den Artikel hatte ich am 28.03 gelesen und gestern gab es...

Rene Kertscher 29. Mär 2006

bringt halt nur leider nichts wenn ich nen richtigen mail- oder webserver als honeypot...

Tilman 29. Mär 2006

Shellcode ist der Maschinencode der durch einen Exploit eingeschleust und zur ausfuerung...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /