Mehr zu diesem Thema:
Erkennen eines TCP-SYN-Scans
Dieses Bild basiert auf dem Bild Tcp-handshake.png und dem Bild Tcp-teardown.png aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. Der Urheber des Bildes ist auf den angegebenen Webseiten nachzulesen.
Beim TCP Handshake folgt auf ein SYN- Paket ein SYN/ACK- Paket. Somit sollte die theoretische Verteilung der SYN- Pakete zu den SYN/ACK-Pakete bei 1:1 liegen. Jede Verbindung wird durch einen TCP Teardown abgebaut. Der Teardown wird durch das Senden eines FIN/ACK Paketes initiiert und durch ein FIN/ACK Paket der Gegenstelle bestätigt. Die ACK-Pakete, die jeweils zum Abschluss des Handshakes und des Teardowns versendet werden, sind durch das IAS nicht von gewöhnlichen ACK-Paketen, die Datenpakete bestätigen, zu unterscheiden und spielen daher in dieser Betrachtung keine Rolle.
Die Verteilung der Pakete, die am TCP Handshake und am TCP Teardown beteiligt sind, beträgt demnach in optimalen Fall 25% SYN, 25% SYN/ACK und 50% FIN/ACK.
Legt man die Daten des Internet-Analyse-Systems von ca. einem Monat zu Grunde, zeigt sich folgendes Bild der Realität:
SYN: 28% 2.958.989 (gelb)
SYN/ACK: 24% 2.499.114 (cyan)
FIN/ACK: 39% 3.517.614
FIN/ACK/PSH: 4% 371.406
FIN: 0% 7
RST: 3% 312.021
RST/ACK: 3% 306.008
Die RST- Pakete ergeben sich aus fehlerhaften Verbindungen und aus versuchten Verbindungsaufbauten auf "closed ports".
In kleinen Zeiträumen lässt sich aufgrund dieses Wissens feststellen, ob eine Anomalie auftritt. Das folgende Zeitdiagramm zeigt die Verteilung der Pakete der TCP-Verbindungssteuerung über einen Tag:
Die Verschiebung der Verteilung ist deutlich zu erkennen. Betrachtet man die prozentuale Verteilung der Pakete zu diesem Zeitpunkt, wird der Unterschied zur normalen Verteilung deutlich:
SYN: 44% 8.005 (gelb)
SYN/ACK: 16% 2.863 (cyan)
FIN/ACK: 26% 4.601
FIN/ACK/PSH: 3% 551
FIN: 0% 0
RST: 2% 374
RST/ACK: 9% 1.645
Browserstatistik
Eine in mancherlei Hinsicht besonders interessante Statistik ist die Statistik über die Benutzung von Web-Browsern.
Herkömliche Webbrowser-Statistiken werden durch die Analyse von Logdateien erhoben. Der Webserver speichert den Wert des HTTP "User-Agent" Headers in seinen Logdateien. Ein Auswertungsprogramm, wie beispielsweise awstats wertet die Logdateien aus und stellt, neben anderen Informationen, die Benutzung von Webbrowsern dar. Diese Statistiken beziehen sich jedoch immer nur auf die Verwendung von Webbrowsern bezogen auf einen spezifischen Webserver.
Das IAS wertet ebenfalls den "User-Agent" Header aus, allerdings geschieht die Auswertung direkt "auf der Leitung". Es wird also eine völlig andere Art der Statistik erhoben. Während bei der Auswertung der Logdaten die Benutzergruppe aus den Nutzern des Webservers besteht, rekrutiert sich bei der IAS-Auswertung die Benutzergruppe aus den Nutzern der analysierten Leitung.
Die folgenden Graphiken zeigt die Verteilung der Browserbenutzung (inbound und outbound kumuliert) für den Fachbereich Informatik von Mitte August 2005 bis Anfang 2006. Man sieht das die Browser "Internet-Explorer 6" und "Mozilla Firefox" den Verkehr dominieren.
Eine nach eingehendem und ausgehendem Verkehr getrennte Analyse befindet sich in Vorbereitung.
Anhand der Graphen läßt sich ebenfalls der gesamte WWW-Traffic des Fachbereichs abschätzen. Die auffälligen Einbrüche des Verkehrs sind durch Zeiträume zu erklären, in denender reguläre Betrieb des Fachbereichs eingeschränkt war.
Das Wintersemester begann offiziell am 01.09.2005. Der reguläre Betrieb, und insbesondere die Benutzung der Studenten-Pools, läuft ab hier langsam an. Die drei deutlichen Einbrüche sind mit zwei Brückentagen (Tag der deutschen Einheit und Allerheiligen), sowie den Weihnachtsfeiertagen zu erklären.
Interessant in diesem Zusammenhang: wget scheint sich von Feiertagen nicht beeindrucken zu lassen. Dies rührt daher, daß wget meistens in Scripten verwendet wird, um automatisch in bestimmten Zeitabständen Dateien herunterzuladen, beispielsweise Updates für einen Virenscanner oder die neuesten Dateien für einen Mirror-Server. Das Ausmaß der automatisierten Nutzung reicht aus um die Kurve konstant zu halten.
Betrachtung des CME-151 Wurm (Sober)
Für den Wurm CME-151, bekannt als eine Variante des Sober Wurms, können in den Daten des IAS Indizien gefunden werden.
(Siehe auch: MS05-039)
Der Wurm trat erstmalig am 6. Oktober 2005 auf. Er verbreitet sich durch eine eigene SMTP Engine und versendet sich selbst als Windows PE EXE Datei (UPX). Das Attachment kann dadurch erkannt werden, das der Content-Type der Mail ein multipart Typ ist. Der deutlich sichtbare, sprunghafte Anstieg von eingehenden E-Mails mit Attachment ist als Indiz für den Ausbruch des Wurms zu deuten.