Missbräuchliche Nutzung Ihres DSL Anschluss – woher kommt die Telekom Logdatei?


Wie im ersten Artikel https://newyear2006.wordpress.com/2010/12/30/missbruchliche-nutzung-ihres-dsl-business-anschlusses/#comment-20975 aufgeführt, stellt einem die Telekom eine LOG-Datei zur Verfügung.

Diese LOG-Datei entsteht nicht, weil die Telekom Ihre Pakete ausschnüffelt und auf auffälliges Verhalten untersucht. Vielmehr entsteht die LOG-Datei weil die Telekom von Betreibern von sogenannten Honeypots http://de.wikipedia.org/wiki/Honeypot darauf aufmerksam gemacht wird. Diese LOG-Datei muss auch nicht alle gefährlichen Datenpakete enthalten sondern stellt evtl. nur eine Teilmenge der unerwünschten Kommunikation dar. Es kann durchaus passieren, dass in einem späteren Schreiben ein Eintrag für den Zeitraum einer vorherigen LOG-Datei auftaucht.

Im konkreten Fall wurde die Telekom von shadowserver.org darauf aufmerksam gemacht (zu sehen an der IP-Adresse 74.208.164.166). shadowserver.org ist eine Organisation in Amerika die in verschiedenen Datencentern Rechner betreibt um gefahren aus dem Internet zu untersuchen und darauf aufmerksam zu machen. http://www.shadowserver.org/wiki/pmwiki.php/Shadowserver/Mission

Jeder Internet Provider in der Welt kann sich bei shadowserver.org registrieren und bekommt dann regelmäßige Berichte, alle 24 Stunden, welche Kunden des Providers in einem Honeypot von shadowserver.org gesichtet wurden. http://www.shadowserver.org/wiki/pmwiki.php/Involve/
GetReportsOnYourNetwork
. Die einzelnen Reports die von shadowserver.org erstellt werden und in welchem Format, kann man hier nachlesen: http://www.shadowserver.org/wiki/pmwiki.php/Services/Reports

Übrigens wenn man weitere Infos nach 72.208.164.166 abfrägt, dann kommt heraus, das die IP-Adresse zu 1&1 gehört, ob das was zu bedeuten hat? Zwinkerndes Smiley http://www.ipaddress-locator.com/74.208.164.166. Nein, denn 1&1 stellt nur den Sinkhole Server zur Verfügung. Der Sinkhole Server ist quasi wie ein Honeypot, allerdings um nicht neue Infektionen anzuziehen sondern um so zu reagieren wie es ein bereits infizierter Rechner von seinem C&C Server erwartet. Übrigens kennt Wikipedia zum ersten mal einen Begriff nicht, deshalb hier ein Link für eine Beschreibung von Sinkhole: http://en.citizendium.org/wiki/Sinkhole_(Computer_network)

Der Sinkhole Server simuliert also einen C&C Server von einem Botnetz und macht den Client, also den infizierten Rechner, glauben das er noch warten soll. Gleichzeitig wird nun eben die Telekom über den Vorgang benachrichtigt.

Soweit also zu dem Thema woher kommt die Telekom LOG-Datei. Als nächstes werden wir uns den Inhalt der LOG-Datei näher anschauen.

Eine Antwort to “Missbräuchliche Nutzung Ihres DSL Anschluss – woher kommt die Telekom Logdatei?”

  1. Quirel Says:

    Hat das damit was zu tun? http://www.heise.de/newsticker/meldung/Rustock-Botnetz-Nach-Abschaltung-weiterhin-viele-PCs-infiziert-1274507.html

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: