Naar inhoud

• Contact
• Sitemap
• English

Zoek in deze website:

• Home
• Wat is usability?
• Onderzoek & Testen
• Advies & Ondersteuning
• Testlabs
• Opdrachtgevers
• Over 2C
  • Usability nieuwsbrief
  • Vacatures
  • Proefpersoon worden
  • Contact
  • Routebeschrijving
  • Offerte of informatie aanvraag

Mysterieus verkeer op internet

Nieuwsbrief juli 2003

Losse data die rondzwerven op het internet, een fenomeen dat nog steeds maar toeneemt. Die data proberen contact te leggen met niet-bestaande servers of met diensten die niet aangeboden worden door bestaande servers. Het enige gemeenschappelijke dat er in die data ontdekt wordt, is het feit dat het data pakketje een windowgrootte heeft van 55.808 bytes en afkomstig is van een niet bestaand internet-adres.

De code is voor het eerst onderschept door het Amerikaanse beveiligingsbureau Intrusec. Deze noemt het Trojaans paard 55808, naar de omvang van de 'window' die in de header van het TCP/IP-bericht wordt gespecificeerd.Beveiligingsexperts breken zich het hoofd over een mysterieus Trojaans paard dat sinds een maand internet af lijkt te schuimen en daarbij voor een merkbare toename van het internetverkeer zorgt.

Uit analyse blijkt dat de onderschepte code het internet op willekeurige wijze afzoekt naar open poorten. Het merkwaardige daarbij is dat het daarbij doet voorkomen dat het van een ander adres afkomstig is. Dit zogeheten 'spoofen' maakt het zeer lastig om het Trojaans paard te detecteren, maar voorkomt ook effectief dat de informatie over openstaande poorten teruggerapporteerd kan worden. Daarvoor vertrouwt het malicieuze stukje software op een zogeheten netwerksniffer; deze speurmodule vergaart terugmeldingen automatisch en slaat deze informatie op in een adresbestandje.

Succes bij het vergaren van de adressen van open poorten is alleen verzekerd als er meerdere kopieën per netwerksegment actief zijn. Het Trojaans paard lijkt echter niet over een mechanisme te beschikken om zichzelf te verspreiden. Het moet derhalve - al of niet via internet - handmatig geïnstalleerd worden. Het afleveren van het bestandje met gevonden open poorten lijkt overigens ook niet te werken, en bovendien probeert de code zichzelf te vernietigen wanneer afleveren van dat bestand mislukt.

Het bedrijf Internet Security Systems, dat het Trojaans paard 'Stumbler' noemt, meent dat met de code de oorzaak voor het toegenomen netwerkverkeer is gevonden. Intrusec twijfelt daaraan en sluit niet uit dat er andere varianten van het Trojaans paard 55808 op internet rondzwerven die wel effectief zijn in het verzamelen van poortinformatie. Ook andere mogelijke oorzaken van het toegenomen netwerkverkeer worden nog onderzocht.

Bron:

• Automatiserings Gids

Inhoud:

1. Minuutje is het maximum
2. Er is maar één kans op een eerste indruk
3. Nieuwe Internetstandaarden - W3C
4. Yahoo zoekt meest afgelegen internetcafé
5. Grootste Hotspot van Europa in Twente
6. Mysterieus verkeer op internet
7. Kort Nieuws - Kort Nieuws - Kort Nieuws
8. Individuele deelname aan workshops usability

• Terug naar de nieuwsbrief