Aktuelle Verfahren zur P2P Botnetzerkennung und Bekämpfung

Größe: px
Ab Seite anzeigen:

Download "Aktuelle Verfahren zur P2P Botnetzerkennung und Bekämpfung"

Transkript

1 Erste Bachelorarbeit Aktuelle Verfahren zur P2P Botnetzerkennung und Bekämpfung Ausgeführt zum Zweck der Erlangung des akademischen Grades eines/einer Bachelor of Engineering am Fachhochschul-Bachelorstudiengang IT Security St. Pölten unter der Leitung von Mag. Simon Tjoa ausgeführt von Wolfgang Reidlinger is St.Pölten, am Matthias Corvinus-Straße 15, A-3100 St. Pölten, T: , F: , E: I:

2 Ehrenwörtliche Erklärung Ich versichere, dass ich diese Bachelorarbeit selbständig verfasst, andere als die angegebenen Quellen und Hilfsmittel nicht benutzt und mich sonst keiner unerlaubten Hilfe bedient habe. ich dieses Bachelorarbeitsthema bisher weder im Inland noch im Ausland einem Begutachter/einer Begutachterin zur Beurteilung oder in irgendeiner Form als Prüfungsarbeit vorgelegt habe. diese Arbeit mit der vom Begutachter/von der Begutachterin beurteilten Arbeit übereinstimmt. ich der FH St. Pölten das Recht einräume, diese Bachelorarbeit für Lehre- und Forschungstätigkeiten zu verwenden und damit zu werben (zb bei der Projektevernissage, in Publikationen, auf der Homepage,), wobei der Absolvent als Urheber zu nennen ist. Jegliche kommerzielle Verwertung/Nutzung bedarf einer weiteren Vereinbarung zwischen dem Studierenden/Absolventen und der FH St. Pölten. St.Pölten, Ort, Datum Unterschrift Reidlinger Wolfgang, is / 25

3 1 Abstract Official institutions such as the BSI in Germany or the ENISA at European level, classify botnets as the largest threat to the current Internet. In the recent years the issue has become more explosive, which is apparent in the rapidly rising number of scientific publications. The corresponding specialized community and scientists to this area are quite aware of this issue, however, there is still a need for education in acquistion to the normal Internet users. Current detection and defece methods in terms of peer-to-peer botnets are collected and compared in this bachelor thesis with the title Aktuelle Verfahren zur P2P Botnetzerkennung und bekämpfung. There are different strategies in current use, this paper argue who it work and make an accurate evaluation of each method. Following a neutral comparison of different methods and strategies can be made. The work is divided into three sections. The first part gives an short introduction in the subject. In the main part the different procedures and methodologies for botnet detection as well as botnet defense will be discussed in detail. At the end of the main part there is a brief overview of currently software products which are available on the field of botnet detection. The endpart of the paper gives a summary view and also an attempt to venture into the future. 2 Kurzfassung Offizielle Stellen wie das BSI 1 in Deutschland oder die ENISA 2 auf Europäischer Ebene, stufen Botnetze als die größte Bedrohung für das derzeitige Internet ein. Daher ist die Thematik in den letzten Jahren immer brisanter geworden, was sich sehr schön in der rasant gestiegenen Anzahl der wissenschaftlichen Publikationen ablesen lässt. Die entsprechende Fachgemeinschaft sowie Wissenschaftler auf diesem Gebiet sind sich der Relevanz dieses Themas durchaus bewusst, allerdings bestehe im Bezug auf den normalen Internetbenutzer noch erheblicher Aufklärungsbedarf. Aktuelle Erkennungs- und Bekämpfungsmethoden im Bezug auf Peer-to- Peer Botnetze werden in dieser Bachelorarbeit mit dem Titel Aktuelle Verfahren zur P2P Botnetzerkennung und bekämpfung erhoben und miteinander verglichen. Es sind aktuell unterschiedliche Strategien im Einsatz, hier gilt es zu erheben wie diese funktionieren und eine genauere Evaluierung jeder einzelnen Methode durchzuführen. Anschließend kann mit diesen Ergebnissen ein neutraler Vergleich der unterschiedlichen Methoden bzw. Strategien angestellt werden. Die Arbeit gliedert sich in drei Abschnitte. Beginnend mit der Einleitung wird versucht, eine kurze Einführung in die Thematik zu geben. Im Hauptteil wird detailliert auf die unterschiedlichen Verfahren und Methodiken zur Botnetzerkennung- sowie Abwehr eingegangen. Am Ende des Hauptteils wird ein kurzer Überblick der aktuell erhältlichen Softwareprodukten auf dem Gebiet der Botnetzerkennung gegeben. Am Ende der Arbeit steht eine Zusammenfassung, außerdem wird versucht, einen Ausblick in die Zukunft zu wagen. 1 Bundesamt für Sicherheit in der Informationstechnik 2 European Network and Information Security Agency (Europäische Agentur für Netz- und Informationssicherheit) Reidlinger Wolfgang, is / 25

4 3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Abstract Kurzfassung Inhaltsverzeichnis Einleitung Hauptteil Verfahren zur Botnetzerkennung Hostbasierende Verfahren Netzwerkbasierende Verfahren Beschreibung der vertical correlation Erkennungsmethode Beschreibung der horizontal correlation Erkennungsmethode Kombinierte Verfahren Detektionsverfahren durch automatisch generierter Modelle (vgl. [5]) Botnet Tracking (vgl. [12]) Verfahren zur Botznetzabwehr P2P Botnetze und deren Schwachstellen Analyse eines P2P Bots am Beispiel des Storm Worms (vgl. [12]) Phase Phase Phase Design eines perfekten P2P Botnetzes (vgl. [26]) Aktuell verfügbare Produkte BotHunter BotSniffer BotProbe Botminer Zusammenfassung und Ausblick Quellenverzeichnis Literaturverzeichnis Abbildungsverzeichnis...25 Reidlinger Wolfgang, is / 25

5 4 Einleitung Botnetze stellen momentan eine der größten Bedrohungen für die Sicherheit des Internet dar. Diese Thematik ist durchaus eine sehr reale. Deutschland rangiert bei der Anzahl der infizierten Rechner international auf Platz 3. [1] Um dieser Problematik entgegenzutreten, hat das eco 3 in Zusammenarbeit mit dem BSI 4 ein providerübergreifendes Beratungszentrum eingerichtet. (vgl. [1] [2] [3]) Im Rahmen der "Anti-Botnet-Initiative" sollen Nutzer, deren Rechner ohne ihr Wissen Teil eines Bot-Netzes geworden sind, durch ihren Provider hierüber informiert werden. Zugleich werden sie kompetente Unterstützung bei der Beseitigung der Schadsoftware erhalten. Dabei sollen den betroffenen Nutzern in einem ersten Schritt auf einer Internetseite Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt werden. Sollte dies nicht ausreichend sein, steht darüber hinaus eine Hotline, ein anbieterübergreifendes Beratungszentrum telefonisch zur Beratung zur Verfügung und erläutert die Schritte zur Beseitigung des Schadprogrammes sowie zur nachhaltigen Absicherung des PCs. [3] Besorgniserregend ist auch eine Erhebung des BSI welche im Bericht Die Lage der IT-Sicherheit in Deutschland 2007 veröffentlicht wurde. Dieser besagt, dass Deutschland nach den USA das Land ist, in dem die meisten Command-and-Control Server (C&C), welche zur Steuerung und Überwachung von Botnetzen benötigt werden, lokalisiert sind. (vgl. [4]) Viele IT Spezialisten sowie Sicherheitsforscher und Wissenschaftler sind sich dieser Tatsache bewusst und daher ist die Anzahl der wissenschaftlichen Publikationen zu diesem Thema in den letzten Jahren rasant gestiegen. Belegt kann dies durch einen einfachen Vergleich der Treffer, auf einschlägige Suchbegriffe, bei der Anfrage wissenschaftlicher Datenbanken werden. Die Resultate dieses Vergleiches sind in der unten stehende Tabelle ersichtlich. Suchbegrif f Verö f f ent lichungsz eit raum Dat enbank/t ref f er Go o gle Scho lar botnet* botnet* * enthalten im Titel oder Text des Papers Abbildung 1: Vergleich der Treffer Google Scholar und ACM Ergebnis dieser Arbeit ist eine Erhebung bereits bekannter als auch neuer und effizientere Erkennungsund Abwehrmethoden auf dem Gebiet der P2P Botnetze. Diese Bachelorarbeit wird sich mit folgenden Fragestellungen beschäftigen: Welche Methoden/Strategien zur P2P Botnetzerkennung bzw. Botnetzbekämpfung gibt es aktuell? Welche aktuell eingesetzten Methoden/Strategien sind die wirkungsvollsten bzw. wie können diese untereinander verglichen werden? Gibt es das Perfekt Design für ein P2P Botnetz? Diese Arbeit soll einen allgemeinen Überblick der aktuell entwickelten bzw. verwendeten Verfahren und Strategien zur Botneterkennung und Botnetzabwehr bzw. Botnetzabschwächung ermöglichen. Als Informationsgrundlage wurden wissenschaftliche Publikationen der jüngsten Vergangenheit herangezogen. Bots bilden die Grundlage für jedes Botnetz. A bot is a type of malware that is written with the intent to compromising and taking control of hosts on the Internet. It is typically installed on the victim's computer by 3 Verband der deutschen Internetwirtschaft 4 Bundesamt für Sicherheit in der Informationstechnik Reidlinger Wolfgang, is / 25

6 either exploiting a software vulnerability in the web browser or the operating system, or by using social engineering techniques to trick the victim into installing the bot herself. [5] Peer-to-Peer (P2P) Botnetze bieten aus Sicht des Botmasters den großen Vorteil nicht auf eine Client- Server Struktur angewiesen zu sein, wie es zum Beispiel in einem Botnetz welches IRC Channels zur Befehlsverteilung nutzt der Fall ist. Solch eine Struktur ist leicht angreifbar. Den Strafverfolgungsbehörden muss lediglich gelingen, den zentralen C&C Server zu identifizieren und diesen anschließend vom Netz zu nehmen. Natürlich kann diese Struktur auch redundant ausgelegt sein und es mehrere bzw. unüberschaubar viele, wie es beim Conficker Wurm [6] der Fall ist, C&C Server geben. Die Server waren jedoch nicht physikalisch vorhanden, sondern es wurde eine riesige Anzahl an möglichen Serveradressen (http URLs) mittels eines speziellen Algorithmus abgefragt. Der Botmaster musste nur eine Domain aus dieser großen Anzahl registrieren und damit war sichergestellt, dass die Bots ihr Befehle abholen konnten. (vgl. [6]) Bei P2P Botnetzen ist dies nicht möglich, da hier jeder einzelne Bot, Client und Server zugleich ist. Es gibt daher keinen zentralen Punkt von dem eine funktionierende Kommunikation innerhalb des Botnetzes abhängt. Werden einzelne Bots aus dem Netzwerk genommen kommt es zu keiner Unterbrechung der Kommunikation innerhalb des Botnetzes. Unabhängig von der Architektur bzw. Struktur eines Botnetzes werden die selben Ziele verfolgt, welche sich folgend zusammenfassen lassen: verbreiten, sammeln und verarbeiten von Informationen. Eines der großen Ziele des Internet wird es daher sein, Verfahren zu entwickeln bzw. bestehende zu verbessern, welche bei der Erkennung, Abschwächung und Verhinderung von P2P Botnetzen einsetzbar sind. (vgl. [7]) Sollte diese, zugegebenermaßen anspruchsvolle Aufgabe nicht in absehbarer Zukunft gelöst werden, so stellt es eine ernstzunehmende Gefahr für das gesamte Internet dar. Der Hauptteil gliedert sich in fünf Kapitel. Im ersten Verfahren zur Botnetzerkennung werden die unterschiedlichen Detektionsverfahren vorgestellt sowie deren Vor- und Nachteile genannt. Anschließend wird im Kapitel Botnet Tracking die Vorgehensweise beschrieben, welche von Sicherheitsforschern angewandt wird um Botnetze analysieren, infiltrieren und anschließend abschwächen zu können. Im dritten Abschnitt wird darauf eingegangen, welche Schwachstellen in Botnetzen vorhanden sind und wie ein Design eines perfekten Botnetzes aussehen könnte. Weiters wird anhand eines Praxisbeispieles (Storm Botnetz) gezeigt wie die Analyse, Infiltration sowie die Störung der Kommunikation innerhalb des Botnetzes abläuft. Das letzte Kapitel des Hauptteils liefert eine Übersicht über aktuell verfügbare Softwareprodukte, welche zur Botnetzerkennung eingesetzt werden können. Abschließend wird eine Zusammenfassung über die Arbeit gegeben sowie ein Ausblick in die Zukunft gewagt. Reidlinger Wolfgang, is / 25

7 5 Hauptteil 5.1 Verfahren zur Botnetzerkennung Dieses Kapitel widmet sich dem Thema Botnetzerkennung. Es werden eine Reihe unterschiedlicher Verfahren und Techniken vorgestellt, sowie teilweise deren Vor- bzw. Nachteile hervorgehoben. Auf diesem Gebiet gibt es bereits gut funktionierende Methoden welche bereits in aktuellen Softwareprodukten zur Botnetzerkennung Verwendung gefunden haben. Aktuelle Softwareprodukte werden im Kapitel 5.5 aufgezählt. Diese finden in den letzten Jahren immer mehr Einzug in großen Organisationen. Die Tatsache, dass das US-Army Research Office (ARO) 5 einer der Hauptsponsoren des BotHunter Projektes ist, zeigt das große Interesse des amerikanischen Militärs für das Thema Botnetzerkennung Hostbasierende Verfahren Hostbasierende Systeme erfordern die Installation einer speziellen Software am lokalen Rechner. Es handelt sich dabei meistens um eine Software, die ihre Signaturen zur Detektion von Malware von einem zentralen Server bezieht. Dadurch ergibt sich automatisch eine höherer Verwaltungsaufwand und Wartungsaufwand. Denn die Software muss entweder über eine spezielle Serverfunktion innerhalb des Netzwerkes an alle Rechner verteilt werden oder auf jedem einzelnen Computer händisch installiert werden. Außerdem müssen die gesammelten Information an eine zentrale Verwaltungsinstanz übertragen werden. Hierfür muss ein entsprechender Server innerhalb des Netzwerkes zur Verfügung stehen außerdem muss dieser Server auch aktuelle Signaturupdates zur Verfügung stellen, damit auch aktuell aufgetauchte Bots von der Software erkannt werden. (vgl. [5]) Diese Technik hat den großen Nachteil, dass nur Bots erkannt werden, für die bereits eine entsprechende Signatur in der Datenbank des Scanners vorhanden ist. Traditional means of defense against bots rely on anti-virus (AV) software installed on end-users' machines. Unfortunately, as the existence of numerous botnets demonstrates, theses systems are insufficient. The reason is that they rely on signatures of known samples, a well-documented limitation [8] that makes it difficult to keep up with the fast evolution of malware. [5] Momentan gibt es Hostbasierte Verteidigungssysteme, welche entweder statische oder dynamische Codeanalysetechniken verwenden, um das spezielle Verhalten von Bots aufzuzeichnen und dementsprechend Aktionen zu setzen. (vgl. [5]) Die Hostbasierten Erkennungsmethoden können aber leicht durch polymorphe Codeveränderungsstrategien umgangen werden. Handelt es sich um einen polymorphen Code, so ändert dieser bei jeder Ausführung seine Signatur und wird somit von einer Anti- Virus Software welche mit Signaturvergleich arbeitet, nicht mehr erkannt. [8] beschreibt welche Techniken angewendet werden um Viren Scanner zu überlisten Netzwerkbasierende Verfahren Wie schon oben festgestellt, können Hostbasierende Erkennungsmethoden leicht umgangen werden, daher werden zunehmend Netzwerkbasierende Erkennungsverfahren verwendet. Bei Netzwerkbasierenden Detektionsverfahren ist es erforderlich, den gesamten Netzwerkverkehr mitzuschneiden. Dies geschieht mittels spezieller Technik, welche den gesamten Datenverkehr eines Netzwerks aufzeichnen. Solch ein Mitschnitt des gesamten Netzwerkverkehrs wird meistens an dem zentralen Zugangspunkt zum Netzwerk (Router) durchgeführt. NetFlow 6, eine ursprünglich von Cicso entwickelte Technik, kann den gesamten IP -Datenverkehr eines Routers oder Layer-3-Switch per UDP Reidlinger Wolfgang, is / 25

8 exportieren. Ein entsprechender NetFlow Kollektor 7 empfängt die Daten welche anschließend gespeichert und verarbeitet werden können. Basierend auf dem mitgeschnittenen Netzwerkverkehr können folgende zwei Analyseschemen angewandt werden. Zum einen die sogenannte vertical correlation und zum anderen die horizontal correlation. Diese beiden Techniken unterscheiden sich in wesentlichen Punkten, welche im Folgenden näher betrachtet werden. [9] beschreibt, wie mittels NetFlow gesammelte Daten zu Botnetzerkennung verwendet werden können Beschreibung der vertical correlation Erkennungsmethode Bei der Methode der vertical correlation ist Kenntnis des Bots, welcher detektiert werden soll, erforderlich. Man muss daher genau wissen, welche C&C Mechanismen verwendet werden. Außerdem ist erforderlich bezüglich der propagation vectors Bescheid zu wissen. These techniques focus on the detection of individual bots, typically by checking for traffic patterns or content that reveal command and control traffic or malicious, bot-related activities. [5] Der größte Nachteil dieser Technik ist, dass nur Bots erkannt werden, welche schon im Vorfeld erforscht wurden und daher seine Signatur oder Verhaltensweise bekannt ist. Bots welche Zero Day Exploits in Webbrowser oder Betriebssystem ausnutzen, können daher mit dieser Methode nur schwer erkannt werden. Die Technik der vertical correlation kommt bei jedem Virenscanner, welcher auf Signatur basierenden Prüfungen von Dateien durchführt, zum Einsatz. Weist jedoch eine Datei welche einen Virus, Trojaner, Bot oä. enthält eine Signatur auf, die sich nicht in der Signaturdatenbank des Virenscanners befindet so wird diese Malware auch nicht erkannt. Um diese Schwachstelle eines Virenscanners zu umgehen gibt es noch eine so genannte Heuristikprüfung die normalerweise Bestandteil jeder Anti-Viren Software ist. Eine Heuristik Suchengine analysiert das Verhalten einer Datei / Programm innerhalb des Betriebssystems. Jeder Hersteller bringt seinen eigenen Heuristik Scanner als Teil seiner Anti-Viren Software auf den Markt und daraus ergeben sich natürlich unterschiedliche Erkennungsraten. Diese präventive Art der Erkennung von Malware ist in den letzten Jahren zunehmend wichtiger geworden, da es den Anti-Viren Softwareherstellern nicht mehr möglich ist ihre Datenbank immer mit den Signaturen der aktuell im Umlauf befindlichen Viren zu aktualisieren. Der Grund dafür ist die extrem gestiegene Anzahl an täglich neu erscheinenden Virensamples. Der Sicherheitsdienstleister Securelist 8 zeigt in seiner monatlich erscheinenden Viren Statistik [10] die Top 20 Viren sowie die Top 20 Schadprogramme welche sich auf Webseiten befinden Beschreibung der horizontal correlation Erkennungsmethode Die zweite Strategie verwendet jene Methode bei der der Netzwerkverkehr dahingehend untersucht wird, dass zwei oder mehr Hosts im Netzwerk gleiches Verhalten aufweisen. Gleiches Verhalten ist meist das Resultat von Kommandos welche vom Botmaster an seine Bots übertragen werden. Dies kann zum Beispiel das Verschicken von Spam Mails, das Ausführen von DDoS Attacken uä. sein. Dieses Analyseverfahren setzt natürlich voraus, dass mindestens zwei Hosts innerhalb des selben Netzwerkes mit dem gleichen Bot infiziert sind. (vgl. [5]) Der große Nachteil dieses Verfahrens ist die Tatsache, dass keine einzelnen Bots innerhalb eines Netzwerks gefunden werden können. Im untersuchten Netzwerk müssten daher immer mehrere Computer mit dem selben Bot infizierten sein, um diese auch aufspüren zu können Reidlinger Wolfgang, is / 25

9 5.1.3 Kombinierte Verfahren Um die Vorteile beider Verfahren, nämlich der Hostbasierenden und der Netzwerkbasierenden nützen zu können, werden kombinierte Erkennungsmethoden eingesetzt. [11] beschreibt wie Host- und Netzbasierende Erkennungsmethoden kombiniert werden können. Es wird ein Detektionsframework vorgestellt, welches Host- und Netzaktivitäten gleichermaßen aufzeichnet, diese Informationen miteinander korreliert und dementsprechend Detektionsergebnisse liefert. Es werden alle aktuell eingesetzten Protokolle zur Steuerung eines Botnetzes wie IRC, HTTP und auch P2P erkannt. Der Versuchsaufbau zu diesem kombinierten Verfahren wurde wie im unten stehenden Bild ersichtlich, aufgebaut. Die Systemarchitektur bestand im wesentlichen aus dem Host Analyzer, Network Analyzer und einer Correlation Engine. Der Host Analyzer besteht aus zwei Modulen, dem sogenannten In-Host Monitor und dem suspicion-level generator. Der Monitor loggt alle Aktivitäten welche in der Registry, im file system und im network stack durchgeführt werden. Der suspicion-level generator generiert den suspicion-level mit Hilfe des so genannten moving average algorithm (gleitender Durchschnitts Algorithmus) basierend auf dem Verhaltensreport der Hosts. Fordert die correlation engine es an, so schickt der Host den average suspicion-level und network feature statistics. Der Network Analyzer besteht ebenfalls aus zwei Modulen, nämlich dem flow analyzer und dem so genannten clustering. Der flow analyzer bekommt den gesamten NetFlow (gesamter Netzwerkverkehr am Gateway) des Routers und untersucht diesen auf bekannte Botnetkommunikationsmuster. Wird während dieser Analyse entdeckt, dass sich einzelne Hosts ähnlich oder sogar gleich verhalten, so werden sie mit Hilfe des clustering gruppiert und in den selben cluster eingeteilt. Wurde eine verdächtige Gruppe von Hosts identifiziert so werden diese Informationen gemeinsam mit dem entsprechenden suspicion-level,welche am Host aufgezeichnet wurden, zur correlation engine geschickt. Anschließend erstellt die correlation engine eine Auswertung jedes einzelnen Hosts. Als Ergebnis wird ein Detektionsergebnis ausgegeben. Abbildung 2: System Architektur [11] Der Versuchsaufbau wurde im Campus Netzwerk der University of Michigan umgesetzt. Es wurden sechs unterschiedliche Botnetze in einem Netzwerk mit rund 2000 Rechnern detektiert. Die Effizienz der oben beschriebenen Erkennungsstrategie wurde mit zwei Werten gemessen. Zum einen die false-positive (FP) und zum anderen die false-negative (FN) rate. Der false-positve Wert bedeutet, dass ein nicht infizierter Host als infiziert klassifiziert wurde. Der false-negative Wert sagt aus, wie viele infizierte Hosts nicht erkannt wurden. Die unten stehende Tabelle zeigt die FP Werte pro Host und im Durchschnitt an. Die höchst aufgetretene false-positive rate war nicht größer als 0.16%. Außerdem wurden bis auf einen infizierten Host alle Bots innerhalb des Netzwerkes erfolgreich identifiziert. Reidlinger Wolfgang, is / 25

10 Die Autoren des Papers haben abschließend bemerkt, dass ihr Framework ausgezeichnet funktioniert. In diesem Punkt muss man ihnen durchaus recht geben, jedoch der große Nachteil besteht immer noch darin, dass mehrere Hosts im Netzwerk mit den selben Bot infiziert sein müssen, um eine erfolgreiche Detektion zu garantieren. Abbildung 3: FP und FN Werte [11] Detektionsverfahren durch automatisch generierter Modelle (vgl. [5]) In der Regel werden aufgrund von gesammelten Informationen Erkennungsmodelle zu bestimmten Bots oder Botfamilien erstellt. Bei Snort 9 zb. passiert die Erstellung solcher Modelle manuell. Kann die Erstellung solcher Erkennungsmodelle automatisiert bzw. teilautomatisiert werden, würde dies erhebliche Arbeitsersparnisse bedeuten. [5] stellt eine neue Herangehensweise zur Thematik automatisch generierter Detektionsmodelle vor. Ziel von Detektionsmodellen ist es, aufgrund von speziellem Netzwerkverkehr, infizierte Maschinen innerhalb eines Netzwerkes zu lokalisieren. Die Modelle bestehen aus zwei Stufen. Innerhalb der ersten Stufe wird der Netzwerkverkehr auf bestimmte Zeichen untersucht. Werden Zeichen, welche auf das Vorhandensein von Bots schließen lässt gefunden, so wird auf die zweite Stufe umgeschaltet. Hierbei handelt es sich primär um Befehle welche vom Internet kommend an den Bot geschickt werden. Innerhalb der zweiten Stufe wird feststellt, wie sich der Bot verhält und auf bestimmte Kommandos reagiert. Sollten nun Aktivitäten stattfinden, welche auf das Vorhandensein eines Bots schließen lassen, so wird eine Infektion einer speziellen Maschine detektiert. Passiert allerdings nichts verdächtiges, so wird nach einer gewissen Zeit wieder auf die erste Stufe zurückgeschaltet. Die Generierung der Erkennungsmodelle funktioniert folgendermaßen und lässt sich in drei Schritten einteilen. Zunächst wird nach Antworten von Bots Ausschau gehalten (Erstellen eines Verhaltensprofils), anschließend wird nach den dafür verantwortlichen Kommandos gesucht und zum Schluss werden diese Ereignisse miteinander korreliert. Sollte eine Korrelation erfolgreich sein, so wird der dafür verantwortliche Netzwerkverkehr in sg. network traffic snippets abgespeichert und für die spätere Verwendung aufbewahrt. Außerdem werden noch ähnliche Signaturen zusammengefasst und in sogenannte bot families eingeteilt. Somit wird eine höhere Trefferquote erzielt, da nicht nur auf einzelne Bots detektiert wird. Mit den aufgezeichneten network traffic snippets und den dazugehörigen behavior profiles werden nun automatisch entsprechende Detektionsmodelle generiert. Die Ergebnisse sind Signaturen welche sich nach Bearbeitung in das network intrusion detection system Bro 10 integrieren lassen. Die Funktionsweise sieht folgendermaßen aus. Bro überwacht den gesamten Netzwerkverkehr am Gateway und vergleicht den Netzwerkverkehr mit den erstellten Signaturen. Sollte ein Rechner solch eine Übereinstimmung auslösen so kommt dieser in die zweite Stufe und Bro beginnt den Netzwerkverkehr dieses Hosts für Reidlinger Wolfgang, is / 25

11 Sekunden aufzuzeichnen. Werden weitere definierte Bedingungen im Netzwerkverkehr dieser Maschine erfüllt so detektiert Bro eine Bot Infektion des entsprechenden Hosts. Insgesamt kamen 416 verschiedene bot samples zum Einsatz. Aus deren Aktivitäten erstellte das entwickelte System automatisch 70 Detektionsmodelle. Darunter befanden sich IRC, HTTP und Peer-to- Peer basierenden Bots. Getestet wurde an zwei real-world network environments. More precisely, we deployed one Bro sensor with our detection models in front of the residential homes of RWTH Aachen University and one sensor at a Greek university network. [5] Das entwickelte Produkt wurde mit der Software BotHunter 11 verglichen. Zusammengefasst wurde das Ergebnis dieser Gegenüberstellung in folgender Tabelle. Abbildung 4: Vergleich der Erkennungsrate Quelle [5] Das oben vorgestellte Verfahren weist allerdings auch mögliche Schwachstellen auf. Wartet der Bot längere Zeit, um auf ein Kommando, welches er vom Botmaster erhalten hat, zu reagieren, so kann das System möglicherweise die Korrelation zwischen Response und Request nicht nachvollziehen und eine Infektion bleibt undetektiert. Weitere Schwachstelle ist die Tatsache, dass content-based analysis eingesetzt wird und daher verschlüsselter Netzwerkverkehr nicht analysiert werden kann. (vgl. [5]) 5.2 Botnet Tracking (vgl. [12]) Um besseres Verständnis in Bezug auf Abwehr und Erkennung von Botnetzen zu erlangen, müssen diese zunächst eingehend analysiert werden. Dadurch werden die von Botnetzbetreibern (Botmaster) eingesetzten Techniken und Anläufe besser verstanden, außerdem können mögliche Schwachstellen aufgedeckt werden. Diese Schwachstellen können dann gegen den Botmaster eingesetzt werden. Dadurch sind Sicherheitsforscher zb. in der Lage die Größe eines Botnetzes zu eruieren, die botnetzinterne Kommunikation empfindlich zu stören oder auch die Kontrolle des gesamten Botnetzes zu übernehmen. Solch eine erfolgreiche Übernahme eines Botnetzes wird in [7] und [13] detailliert beschrieben. [12] stellt eine Methodik vor, wie man P2P Botnetze aufspürt, analysiert, infiltriert und schlussendlich abschwächen bzw. stören kann. Das vorgestellte Verfahren ist in drei große Abschnitte aufgeteilt. Am Beginn wird der eingesetzte P2P Bootstrapping Process 12 analysiert und versucht mögliche Schwachstellen auszunutzen. Hier ist es erforderlich, an eine Kopie des entsprechenden Bots bzw. der Malware zu gelangen und den Infektionsprozess sowie Kommunikation mit dem Botnetz in einer kontrollierten Umgebung ablaufen zu lassen. Hierfür eignen sich Honeybots, die bekanntesten Softwareprodukte auf diesem Gebiet sind unter [15] aufgelistet. Es gilt jedoch zwei Hürden zu bewältigen, zum einen muss der infection vector ermittelt und zum anderen vulnerable applications simuliert werden. Wurde eine entsprechend verwundbare Umgebung geschaffen, so muss im nächsten Schritt dafür gesorgt werden, dass der Honeybot mit einem Bot infiziert wird. In weiterer Folge werden alle Aktivitäten des Bots am System und im Netzwerk genau analysiert und protokolliert. Hierzu zählen Aktivitäten im Filesystem, Zugriff auf Systemdateien, Eingriffe in die Firewalleinstellungen, Anzahl der aufgebauten Verbindungen In the case of peer-to-peer botnets, the bot must contain sufficient information on how to connect to the botnet and how to recive commands form the attacker. Usually this information includes a number of IP addresses if initial peers, service ports and application-specific connection information. [14] Reidlinger Wolfgang, is / 25

12 sowie jene IP Adressen und Ports mit denen eine Verbindung aufgebaut wird. Ziel ist es IP Adressen und Ports von Rechnern zu ermitteln welche Teil des Botnetzes sind oder die Kontrollstruktur des Botnetzes darstellen. Mit Hilfe dieser Information erhält man erste Einblicke in das zu analysierende Botnetz. Jedoch muss großer Wert darauf gelegt werden, dass der Botmaster nichts von den Anaylseaktivitäten innerhalb seines Botnetzes merkt. Sollte dies der Fall sein, wird er nach Möglichkeit Abwehrmaßnahmen dagegen einleiten. Die zweite Phase beschäftigt sich mit der sg. Infiltration and Analysis. Mit den Resultaten aus Phase eins wird versucht, mittels eines speziell angepassten P2P-Client (wird IRC eingesetzt so wird ein spezieller IRC Client erstellt) eine Verbindung zum Botnetz aufbauen und so Kommandos vom Botmaster zu empfangen. Je mehr Befehle empfangen werden, desto besseres Verständnis erhält man über Funktionsweise und Aktivität des Botnetzes. Jede Aktion sollte jedoch genau überlegt werden und mögliche Auswirkungen abgewogen werden. It can be dangerous since the attacker could notice the infiltration process and start to specifically attack us. [12] Die dritte und letzte Phase beschäftigt sich mit der Abschwächung des nun infiltrierten Botnetzes. [12] beschreibt detailliert wie das infiltrierte Botnetz in seiner Kommunikation gestört werden konnte. In dieser Phase kann auch versucht werden, die Größe des Botnetzes mit Hilfe spezieller Software zu ermitteln. The mitigation of botnets must attack the control infrastructure to be effective, i.e., either the servers or the communication method. [12] Zur Störung der Kommunikation können unterschiedliche Techniken eingesetzt werden. [7] stellt zwei unterschiedliche Methoden vor, mit deren Hilfe versucht wird, die Kommunikation innerhalb des Botnetzes empfindlich zu stören. 5.3 Verfahren zur Botznetzabwehr Zunächst muss geklärt werden, in welchem Zusammenhang von einer Botznetzabwehr gesprochen wird. Sind hier Abwehrmechanismen gemeint welche auf das ganze Internet oder zumindest auf große Providernetze angewendet werden oder beschränkt man sich darauf, nur das eigene LAN 13 gegen Botnetze zu schützen. Weiters gilt es klarzustellen, dass hier nicht Verfahren besprochen werden welche sich mit der Behandlung von dezidierten Angriffe beschäftigen. Unter Angriffe wird in diesem Zusammenhang von DDoS oder Spam Attacken welche von den Bots innerhalb eines Botnetzes ausgeführt werden, gesprochen. Solche Angriffe sind speziell zu betrachten und bedürfen eines gesonderten Analyseschemas. Vielmehr beschränken sich aktuelle Verfahren damit, Traffic am Gateway eines LANs mitzuschneiden und diesen teilweise in Echtzeit auf verdächtige Aktivitäten zu untersuchen. Die meisten Verfahren basieren darauf, den Netzwerkverkehr auf bestimmte Muster oder Inhalte hin zu untersuchen. Bei der Analyse auf Muster wird speziell auf Anzahl der aufgebauten Netzwerkverbindungen (Sockets = IP Adresse und Port) untersucht. Die mittels TCP/IP Verbindungen übertragene Daten werden auf deren Inhalt analysiert. Erforderlich hierfür ist daher ein detailliertes Wissen bezüglich der Aktivitäten eines Bots. Wie die Analyse eines Bots im Detail abläuft, wurde im Kapitel Botnet Tracking beschrieben. Mit solchen Systemen könnten außerdem nur bereits bekannte und bereits analysierte Bots bzw. Botfamilien erkannt werden. Es können daher in den meisten Fällen Botinfektionen erst detektiert werden wenn diese bereits passiert sind. Der Grund dafür ist die Tatsache, dass in den meisten Fällen nicht bekannt ist welche Applikation, Service oä. ein Bot als sein Infektionsvektor wählt. Weites müsste der verwendete Schadcode ebenfalls bekannt sein, was nicht immer gegeben ist. Es werden häufig noch unveröffentlichte sg. Zero Day Exploits 14 für das Verbreiten von Bots bzw. Schadsoftware eingesetzt. 13 inkl. aller Möglichkeiten dieses zu erweitern zum Beispiel mit VPN (Standortvernetzung, Remotezugriff von Mitarbeiter) 14 Reidlinger Wolfgang, is / 25

13 5.3.1 P2P Botnetze und deren Schwachstellen Um bekannte Schwachstellen in zentralisierte C&C Botnetz Strukturen zu umgehen, wurden in den letzten Jahren immer mehr Botnetze welche P2P Mechanismen einsetzen, entwickelt. Beispiele hierfür sind Slapper [16], Sinit [17], Phatbot [18] and Nugache [19]. Bei den Implementierungen dieser Botnetze wurde besonderer Fokus auf fortschrittliche sowie neuartige P2P C&C Architekturen gelegt. Zu Beginn dieser Entwicklungsphasen wurden vorwiegend bestehende P2P Netze als Kommunikationsinfrastruktur verwendet. [7] beschreibt, wie das Storm Botnet ein bereits bestehendes P2P Netzwerk mit den Namen OVERNET zur Kommunikation verwendete. In [20] wird erklärt, wie der sg. Overbot die populäre P2P Technik Kademlia 15 für seine eigenen Zwecke eingesetzt hat. Mit der Entstehung der ersten größeren P2P Botnetze kamen auf die Sicherheitsforscher und IT Sicherheitsverantwortlichen komplett neue Herausforderungen zu. Die neu eingesetzten Systeme waren teilweise schon besser gegen Sniffing bzw. Manipulation geschützt. Es wurden bereits unterschiedliche Securityfeatures wie Public Key Cryptography für die Authentifizierung des Update-Mechanismus (Sinit) sowie verschlüsselte bzw. verschleierte Steuerkanäle (Nugache) verwendet. (vgl. [21]) Diese Features sollen es den Sicherheitsforschern erheblich erschweren eingehende Analysen sowie etwaige Manipulationen innerhalb des entsprechenden Botnetzes vorzunehmen. Da jedoch diese Techniken auch nur von Menschen entwickelt wurden, sind natürlich Fehler nicht ganz ausgeschlossen. Solche Fehler bei Implementierungen von verschiedenen Sicherheitsmaßnahmen gegenüber Angreifern des Botnetzes machen sich heutige Sicherheitsforscher zunutze und treiben den Kampf gegen die weltweit agierenden Botnetze voran. Im Zuge von diversen Analysen wurden zahlreiche Schwachstellen ausgemacht wie zum Beispiel: Phatbot utilizes Gnutella cache servers for its bootstrap process. This also makes the botnet easy to shut down. [21] oder Nugache's weakness lies in its reliance on a seed list of 22 IP addresses during its bootstrap process [19]. [21] und Slapper fails to implement encryption and command authentication enabling it to be easily hijacked by others. In addition, its list of known bots contains all (or almost all) members of the botnet to denfenders [17]. Furthermore, its complicated communication mechanism generates a lot traffic, rendering it susceptible to monitoring via network flow analysis. [21] Das Bekanntwerden von offiziellen IP Adressen von Nodes innerhalb des Botnetzes ist ziemlich schlecht für den Botnetzbetreiber. Handelt es sich dabei um wichtige IP Adressen eines zentralen Steuerservers oder sg. Servent Bots, welche in [21] beschrieben werden, so steigen die Möglichkeiten dem Botnetz empfindlichen Schaden zuzufügen. Im Kapitel Design eines perfekten P2P Botnetzes wird eruiert, welche Maßnahmen, aus Sicht des Botmasters notwendig sind, um sein Botnetz vor Angriffen von Sicherheitsforschern abzusichern Analyse eines P2P Bots am Beispiel des Storm Worms (vgl. [12]) [12] zeigt wie das Storm Botnet erfolgreich gefunden, analysiert und anschließend infiltriert wurde. We show that we can successfully infiltrate and analyze the botnet, even though there is no central server like in traditional botnets as described in Chapter 4. Furthermore, we also outline possible attacks to mitigate Storm and present our measurement results. [12] Weiters wurden spezielle Angriffe auf das so genannte Stormnet durchgeführt sowie Ergebnisse durchgeführter Messungen vorgestellt. Die Vorgehensweise entspricht jener, welche im Unterkapitel Botnet Tracking beschrieben wurde. In diesem Abschnitt möchte ich versuchen, die beschriebene Vorgehensweise mit einem praktischen Beispiel näher zu bringen. Wie bereits erwähnt gliedert sich die Methodik in drei Abschnitte welche nun folgend beschrieben werden Reidlinger Wolfgang, is / 25

14 Phase 1 Es wurden spamtraps verwendet um spam mails welche den Storm Botnetz zugeordnet werden konnten zu sammeln. Anschließend wurde mittels eines Honeyclients eine URL, welche sich in den spam mails befanden, besucht was eine drive-by-infection 16 des Honeypots mit den Storm Bot zur Folge hatte. Dafür war es natürlich erforderlich zu ermitteln welchen Angriffs Vektor die Malware verwendet. In den meisten Fällen handelt es sich dabei um einen malicious remote code execution vulnerability im Internetbrowser oder einem Netzwerkservice des Betriebssystems. Nachdem dies geschafft war lang nun eine Kopie der Storm Bot Binary vor. Durch reverse engineering der Binary war es möglich eine aktuelle peer liste des Storm Botnetzes zu extrahieren. Obwohl es ein P2P Netzwerk ist werden auch im Storm Botnetz zentrale Server verwendet. Im Storm Botnetz konnten drei unterschiedliche Layer identifiziert werden, welche in der unten stehenden Grafik dargestellt sind. Die normalen Bots sind jene, welche Spam versenden bzw. DDoS Attacken ausführen, sie besitzen in der Regel eine private IP Adresse und sind in einen NAT Netzwerk lokalisiert. Maschinen mit einer öffentlichen IP Adresse stellen so genannte Gateway Bots dar, sie dienen zur Weitergabe von Befehlen an die Spam/DDoS Bots. Im dritten Layer dieser Hierarchie stehen die control nodes mit einer statischen öffentlichen IP Adresse. Die auf den Bots gesammelte Daten (Logins für Netbanking, Kreditkartennummern, usw) werden an diese control nodes geschickt außerdem liegen vorbereitet spam templates 17 zur Abholung durch die Bots bereit. Die verwendete Kommunikationslogik gibt vor, dass der Botmaster die Befehle an seine Bots nicht direkt zu ihnen schicken kann sondern sich die Bots die Befehle abholen müssen. [...] the controller cannot send commands directly to the bot, thus the boot needs to search for commands and we exploit this property of Storm to obtain the search key. [12] Abbildung 5: Storm Bot - 3 Layer Struktur [12] Phase 2 Mit Hilfe der Daten welche in Phase 2 gesammelt wurden, kann nun dazu übergegangen werden, das Botnetz eingehend zu analysieren und nach Möglichkeit sogar zu infiltrieren. Basierend auf den gesammelten keys, welche verwendet werden um die Bots mit Befehlen zu versorgen, sowie das Verständnis für das verwendete Kommunikationsprotokoll war es möglich, tiefer in das Storm Botnet vorzudringen und mehr darüber in Erfahrung zu bringen. (vgl. [12]) Außerdem war es mit diesem Wissen auch möglich, die Größe des Botnetzes zu enumerieren. To measure the number of peers within the whole peer-to-peer network, we use the crawler for OVERNET and Stormnet developed by Steiner as part of his PhD thesis [22]. It uses the same basic principle as the KAD crawler also developed by Steiner [23]. The crawler runs on a single machine and uses a breadth first search issuing route requests messages to find peers currently participating in OVERNET or Stormnet. The speed of the crawler allows us to discover 16 Ein Betriebssystem wird ausschließlich durch das Besuchen einer entsprechende Website mit Schadsoftware infiziert Reidlinger Wolfgang, is / 25

15 all peers within a short amount of time, usually between 20 to 40 seconds (depending on the time of day). [12] Der crawler bestand aus zwei unterschiedlichen Threads. Der erste Thread war zuständig für das ausschicken von route requests (siehe Abbildung Algorithmus 1). Der zweite hatte die Aufgabe, die entsprechenden route requests zu empfangen und zu verarbeiten ( siehe Abbildung Algorithmus 2). The receiving thread adds the peers extracted from the route responses to the list, whereas the sending thread iterates over the list and sends 16 route requests to every peer. The DHT ID asked for in the route requests are calculated in such a way that each of them falls in different zones of the peer s routing tree. This is done in order to minimize the overlap between the sets of peers returned. [12] Abbildung 6: Storm Botnet crawler - Algorithmus 1 [12] Abbildung 7: Storm Botnet crawler - Algorithmus 2 [12] Phase 3 In der dritten und letzten Phase wurde versucht, die Kommunikation innerhalb des Botnetzes empfindlich zu stören und damit den Aktionsradius des Botnetzes erheblich einzuschränken. In diesem Abschnitt wird im speziellen Bezug auf [12] genommen und die zwei vorgestellten Verfahren erläutert. Die zwei vorgestellten Verfahren heißen Eclipsing Content und Polluting Der Angriff mit dem Namen Eclipsing Content zielt auf die Manipulation von der DHT ID 18 und somit auf die Routing Tabelle der Bots ab und bewirkt dadurch, dass Teile, sprich eine gewisse Anzahl an infizierten Hosts, innerhalb des Botnetzes nicht mehr erreichbar ist. A special form of the sybil attack is the eclipse attack [24] that aims to separate a part of the peer-to-peer network from the rest. [12] Jedoch war aus 18 Distributed hast table Reidlinger Wolfgang, is / 25

16 technischen Gründen ein erfolgreicher Angriff und damit eine Abschwächung des Botnetzes nicht erfolgreich. As a consequence, in OVERNET and Stormnet, the eclipse attack can thus not be used to mitigate the Storm Worm network. [12] Da der oben angeführte Ansatz nicht zum Erfolgt führte wurde eine weitere Methodik angewandt, welche detailliert in [7] und [12] beschrieben wird. Positioned in a strategic way, the sybils allow us to gain control over a fraction of the peer-to-peer network or even over the whole network. The sybils can monitor the traffic, i.e., act as spies (behavior of the other peers) or abuse the protocol in other ways. For example, route requests may be forwarded to the wrong end-hosts or re-routed to other sybil peers. We use the Sybil attack to infiltrate OVERNET and the Stormnet and observe the communication to get a better understanding of it. Assume that we want to find out what type of content is published and searched for in the one of both networks in the least intrusive way. For this, we need to introduce sybils and make them known, such that their presence is reflected in the routing tables of the non-sybil peers. [12] Die Implementierung von Moritz Steiner [22] machte es möglich, einen sg. spy zu betreiben. Diese kann auf einer physischen Maschine tausende von sg. sybils erzeugen. The spy achieves this scalability since the sybils do not keep any state about the interactions with the non-sybil peers[25]. We introduce 2 24 sybils into OVERNET and Stormnet: the first 24 bits are different for each sybil and the following bits are fixed, they are the signature of our sybils. [12] Die Implementierung des spy wurde in den folgenden vier Schritten durchgeführt. Als erstes wurde der verwendete DHT ID Adressraum mittels des crawlers durchsucht um eine Liste der online peers zu erhalten. Als nächstes wurde ein hello request an alle peers in dieser Liste geschickt in der Absicht die Routing Tabellen der peers zu vergiften. Es wurden Einträge übertragen, welche alle auf die sybils zeigten. Alle die den hello request erhalten haben besitzen nun gefälschte Routing Tabellen Einträge. Wenn nun im nächsten Schritt ein route request von einen non-sybil peer einen sybil peer erreicht bekommt dieser peer ebenfalls einen gefälschten Eintrag für seine Routing Tabelle zugeschickt. Mittels dieser Technik kann sichergestellt werden, dass jeder route request, welcher einen sybil peer erreicht in weiterer Folge wiederum bei genau diesen sybil peer endet. Im letzten Schritt wurden alle empfangenen requests in einer Datenbank gespeichert, damit können die gesammelten Daten für spätere Analysen weiterverwendet werden. (vgl. [12]) Zusammenfassend lässt sich sagen, dass diese Attacke auf das Injizieren einer großen Menge falscher Informationen hinausläuft, was durchaus sehr erfolgreich war. However, by modifying the search algorithm used, by asking all peers in the network for the content and not only the peers close to the content's hash, the storm related content can still be found (Figure 6b). Our experiments show that by polluting all those hashes that we identified to be strom hashes (see Section 4.2.2), we can disrupt the communication of the botnet. [7] Reidlinger Wolfgang, is / 25

17 Abbildung 8: Anzahl der Veröffentlichung von Storm Bots vor und während der pollution attack [7] 5.4 Design eines perfekten P2P Botnetzes (vgl. [26]) [26] behandelt nicht nur Schwachstellen in bereits bekannten P2P Botnetzen sondern versucht auch zu ermitteln, welche Funktion und Mechanismen ein perfektes Botnetz, aus Sicht des Botnetzbetreibers (Botmaster), implementiert haben sollte. Für das Design eines hoch entwickelten Botnetzes sollten sich laut [26] die Verantwortlichen folgende Fragestellungen näher ansehen: (1). How to generate a robust botnet capable of maintaining control of its remaining bots even after a substantial portion of the botnet population hast been removed by defenders? (2). How to prevent significant exposure of the network topology when some bots are captured by defenders? (3). How to easily monitor and obtain the complete information of a botnet by its botmaster? (4). How to prevent (or make it harder) defenders from detecting bots via their communication traffic patterns? [26] Wie unschwer aus oben angeführten Fragen zu erkennen ist, dient eine Beantwortung in erster Linie der Angreiferseite. Sie ist dadurch in der Lage, hoch verfügbare und robuste Botnetze aufzubauen. Weiters gibt [26] eine Liste mit Funktionalitäten welche in einem perfekten Botnetz enthalten sein sollten. Da die bootstrapping procedure meist anfällig für Angriffe ist, so wird vorgeschlagen, dass dieser überhaupt ganz weggelassen werden sollte. [7] beschreibt, wie die bootstrapping procedure des Storm Worm (Storm Botnetz) exploited wurde und dadurch die Tür für weitere sowie tiefergehende Analysen dieses Botnetzes geöffnet wurde. Wird ein Bot durch einen Sicherheitsforscher mittels reverse engineering 19 analysiert, so tritt meistens auch der Quellcode zu Tage welcher nun genauere Schlüssel über Funktion und Arbeitsweise der Schadsoftware zulässt. Würde ein einzelner Bot eine peer list 20 des gesamten Botnetzes oder eine große Anzahle an zentralen C&C Servern enthalten, so wäre dies für einen Angreifer überaus brauchbar. Die Empfehlung lautete also, dass ein einzelner Bot eine peer liste mit einer beschränkten Anzahl an nicht wichtigen Teilnehmern des Botnetzes enthält. Als nächster Punkt wird das Vorhandensein einer guten Monitoring Funktionalität angesprochen. Der Botmaster sollte ein report Kommando an seine Bots schicken können. Nach Empfang solch eines Kommandos verbinden sich alle Bots zu einer speziell ausgewählten kompromittierten Maschine (diese wurde den Bots im report Kommando mitgeteilt) und erstatten Bericht bezüglich Status und Aktivitäten. In [26] wird diese Maschine als so genannter sensor host bezeichnet Liste mit Rechner (zb. in Form von IP Adresse und Port) Reidlinger Wolfgang, is / 25

18 Wie bereits oben ausgeführt, basieren viele Erkennungsstrategien darauf, den Netzwerkverkehr auf spezielle Muster oder Inhalt zu überprüfen. Um eine Detektion zu erschweren, wird daher vorgeschlagen erstens einen vom Bot selbst bestimmten Service Port zu verwenden und zweitens einen selbst generierten symmetrischen Schlüssel zu Verschlüsselung der Kommunikation zu verwenden. This individualized encryption and individualized service port design makes it very hard for the botnet to be detected through network flow analysis of the botnet communication traffic. [26] Einige der genannten Features sind heute bereits in große Botnetze implementiert. Jedoch wurde noch kein Netzwerk analysiert, welches alle oben angeführten Eigenschaften in sich vereint bzw. diese fehlerlos umgesetzt worden wären. [26] kommt zu dem Schluss, dass oben vorgestellte Überlegungen wichtig sind, um sich vor zukünftigen Botnetz Attacken schützen zu können. Frei nach dem Motto know your enemy. 6 Aktuell verfügbare Produkte Mittlerweile gibt es einige Softwareprodukte zur Botnetzerkennung im Netzwerk. Es sind teilweise unterschiedliche Ansätze bei der Erkennungsstrategie im Einsatz. Folgende Unterpunkte versuchen die einzelnen Produkte kurz zu beschreiben. Die populärsten Softwareprodukte zur Zeit sind BotHunter, BotSniffer, BotProbe und BotMiner. 6.1 BotHunter BotHunter wurde in Zusammenarbeit des College of Computing des Georgia Institute of Technology 21 und des Computer Science Laboratory der Nonprofit Forschungseinrichtung SRI International 22 entwickelt. Details dieser Arbeit wurden im Rahmen des 16th USENIX Security Symposium mittels der Erstellung eines wissenschaftlichen Papers veröffentlicht. Außerdem wurde das vorgestellte Verfahren zum Patent angemeldet. [27] beschreibt detailliert System Design, Funktionalität sowie Vorgehensweise bei der Detektion von infizierten Maschinen. BotHunter is an application designed to track the two-way communication flows between internal assets and external entities, developing an evidence trail of data exchanges that match a state-based infection sequence model. BotHunter consists of a correlation engine that is driven by three malware-focused network packet sensors, each charged with detecting specific stages of the malware infection process, including inbound scanning, exploit usage, egg downloading, outbound bot coordination dialog, and outbound attack propagation. [27] Wird BotHunter eingesetzt, so ist die Installation der Software auf einem PC, welcher sich zwischen Gateway zum Internet und dem internen Netzwerk befindet, erforderlich. Dies kann natürlich auch zwischen einzelnen Netzwerksegmenten des lokalen Netzwerkes realisiert werden. BotHunter liest den Netzwerkverkehr mit und versucht, anhand verschiedener Analysen Verbindungen von Bots zum Bot-Herder zu erkennen. Dazu nutzt es unter anderem Listen bekannter Command&Control-Server, involvierter DNS-Server und zum Russian Business Network gehörender IP- Adressen. Zudem versucht es, Verbindungsabläufe zu erkennen und dies mit anderen Daten zu korrelieren. Daraus resultiert ein Wert, wie wahrscheinlich ein PC ein Bot ist. [28] Die entwickelte Software ist für alle großen Betriebssysteme wie Linux, FreeBSD, Mac OS X sowie Windows erhältlich. Außerdem gibt es auch eine Live-CD welche eine BotHunter Installation auf einem Reidlinger Wolfgang, is / 25

19 Linux Ubuntu enthält. Unter den Sponsoren des Projekts befindet sich unter anderem das US-Army Research Office (ARO) BotSniffer BotSniffer stellt einen Prototypen einer Erkennungssoftware dar, welcher 2008 auf dem 16th Annual Network & Distributed System Security Symposium vorgestellt wurde. Georgia Tech s BotSniffer uses network-based anomaly detection to identify botnet command and control channels in a local area network without any prior knowledge of signatures or server addresses, the researchers said. The idea is to ultimately detect and disrupt botnet infected hosts in the network. [29] [30] beschreibt ein Verfahren, welches mit Netzwerkbasierenden Anomaly Detektion das Vorhandensein von C&C Kommunikation innerhalb des lokalen Netzwerkes aufspürt. Anders als bisherige Methoden benötigt dieses Verfahren keine Kenntnis von Bot Signaturen, Kommunikationsmuster oder IP Adressen von C&C Server. Our approach is based on the observation that, because of the pre-programmed activities related to C&C, bots within the same botnet will likely demonstrate spatial-temporal correlation and similarity. For example, they engage in coordinated communication, propagation, and attack and fraudulent activities. Our prototype system, BotSniffer, can capture this spatial-temporal correlation in network traffic and utilize statistical algorithms to detect botnets with theoretical bounds on the false positive and false negative rates. [30] Entwickelt wurde das Verfahren von Guofei Gu, Junjie Zhang und Wenke Lee an der School of Computer Science (College of Computing, Georgia Institute of Technology). Das Verfahren ist beschränkt auf Bots welche IRC und HTTP verwenden. 6.3 BotProbe [31] stellt eine neue Methodik zur aktiven Bot Erkennungsproblematik vor. Diese Technik soll als Ergänzung zu bisherigen passiven Botnetzerkennungsmethoden verstanden werden. Weiters soll die Technik aus [31] geeignet sein um verschleierte und selten stattfindende C&C Kommunikation speziell kleiner Botnetze aufzuspüren. Möglich macht dies ein neu entwickeltes Algorithmus Framework welches hypothesis testing einsetzt um C&C Botnetz Kommunikation von Mensch zu Mensch Kommunikation unterscheiden kann. (vgl. [31]) Entwickelt wurde das Softwareprodukt unter Zusammenarbeit folgender drei Forschungseinrichtungen, nämlich der Texas A&M University dem SRI International sowie des Georgia Institute of Technology. Das entwickelte Produkt wurde laut den Autoren bereits erfolgreich in Produktivumgebungen getestet. Experimental results on multiple real-world IRC bots demonstrate that our proposed active methods can successfully identify obscure and obfuscated botnet communications. [31] Außerdem wurden Untersuchungen durchgeführt um die false positive rate der Software beim unterscheiden zwischen Botnetzkommunikation und Mensch zu Mensch -Kommunikation zu verbessern. A real-world user study on about one hundred participants also shows that the technique has a low false positive rate on human-human conversations. [31] Erkannt werden hauptsächlich Botnetze welche IRC zu Kommunikation verwenden. Geplant ist jedoch eine Ausweitung der Funktionalität auf HTTP und P2P Botnetze Reidlinger Wolfgang, is / 25

20 6.4 Botminer [32] beschreiben ein von Guofei Gu, Roberto Perdisci, Junjie Zhang und Wenke Lee entwickeltes Verfahren um Kommunikation von Bots zu erkennen. In this paper, we present a general detection framework that is independent of botnet C&C protocol and structure, and requires no a priori knowledge of botnets (such as captured bot binaries and hence the botnet signatures, and C&C server names/addresses). [32] Das vorgestellte Produkt ist in der Lage IRC, HTTP und auch P2P Bots in Produktivumgebungen erfolgreich zu erkennen. Accordingly, our detection framework clusters similar communication traffic and similar malicious traffic, and performs cross cluster correlation to identify the hosts that share both similar communication patterns and similar malicious activity patterns. [32] Reidlinger Wolfgang, is / 25

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die

Mehr

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch - 1 - Inhalt 1 Einführung... 3 2 Installation und Einrichtung... 4 3 Funktionalität des KIP Druckerstatus... 6 4 Benutzung des KIP Druckerstatus...

Mehr

https://portal.microsoftonline.com

https://portal.microsoftonline.com Sie haben nun Office über Office365 bezogen. Ihr Account wird in Kürze in dem Office365 Portal angelegt. Anschließend können Sie, wie unten beschrieben, die Software beziehen. Congratulations, you have

Mehr

Guide DynDNS und Portforwarding

Guide DynDNS und Portforwarding Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man

Mehr

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über

Mehr

ICS-Addin. Benutzerhandbuch. Version: 1.0

ICS-Addin. Benutzerhandbuch. Version: 1.0 ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...

Mehr

Aufgabe 3 Storm-Worm

Aufgabe 3 Storm-Worm Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

SSH Authentifizierung über Public Key

SSH Authentifizierung über Public Key SSH Authentifizierung über Public Key Diese Dokumentation beschreibt die Vorgehensweise, wie man den Zugang zu einem SSH Server mit der Authentifizierung über öffentliche Schlüssel realisiert. Wer einen

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

RT Request Tracker. Benutzerhandbuch V2.0. Inhalte

RT Request Tracker. Benutzerhandbuch V2.0. Inhalte RT Request Tracker V2.0 Inhalte 1 Was ist der RT Request Tracker und wo finde ich ihn?...2 2 Was möchten wir damit erreichen?...2 3 Wie erstelle ich ein Ticket?...2 4 Wie wird das Ticket abgearbeitet?...4

Mehr

GeoPilot (Android) die App

GeoPilot (Android) die App GeoPilot (Android) die App Mit der neuen Rademacher GeoPilot App machen Sie Ihr Android Smartphone zum Sensor und steuern beliebige Szenen über den HomePilot. Die App beinhaltet zwei Funktionen, zum einen

Mehr

Übung: Verwendung von Java-Threads

Übung: Verwendung von Java-Threads Übung: Verwendung von Java-Threads Ziel der Übung: Diese Übung dient dazu, den Umgang mit Threads in der Programmiersprache Java kennenzulernen. Ein einfaches Java-Programm, das Threads nutzt, soll zum

Mehr

Windows Server 2012 R2 Essentials & Hyper-V

Windows Server 2012 R2 Essentials & Hyper-V erklärt: Windows Server 2012 R2 Essentials & Hyper-V Windows Server 2012 R2 Essentials bietet gegenüber der Vorgängerversion die Möglichkeit, mit den Boardmitteln den Windows Server 2012 R2 Essentials

Mehr

Firmware-Update, CAPI Update

Firmware-Update, CAPI Update Produkt: Modul: Kurzbeschreibung: Teldat Bintec Router RT-Serie Firmware-Update, CAPI Update Diese Anleitung hilft Ihnen, das nachfolgend geschilderte Problem zu beheben. Dazu sollten Sie über gute bis

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen

Mehr

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

Lizenzen auschecken. Was ist zu tun?

Lizenzen auschecken. Was ist zu tun? Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.

Mehr

Listening Comprehension: Talking about language learning

Listening Comprehension: Talking about language learning Talking about language learning Two Swiss teenagers, Ralf and Bettina, are both studying English at a language school in Bristo and are talking about language learning. Remember that Swiss German is quite

Mehr

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

Avira Support Collector. Kurzanleitung

Avira Support Collector. Kurzanleitung Avira Support Collector Kurzanleitung Inhaltsverzeichnis 1. Einleitung... 3 2. Ausführung des Avira Support Collectors... 3 2.1 Auswahl des Modus...4 3. Einsammeln der Informationen... 5 4. Auswertung

Mehr

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014 Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten! Anmeldung über SSH Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten! Besitzer der Homepage Advanced und Homepage Professional haben die Möglichkeit, direkt

Mehr

arlanis Software AG SOA Architektonische und technische Grundlagen Andreas Holubek

arlanis Software AG SOA Architektonische und technische Grundlagen Andreas Holubek arlanis Software AG SOA Architektonische und technische Grundlagen Andreas Holubek Speaker Andreas Holubek VP Engineering andreas.holubek@arlanis.com arlanis Software AG, D-14467 Potsdam 2009, arlanis

Mehr

Handbuch. Artologik EZ-Equip. Plug-in für EZbooking version 3.2. Artisan Global Software

Handbuch. Artologik EZ-Equip. Plug-in für EZbooking version 3.2. Artisan Global Software Artologik EZ-Equip Plug-in für EZbooking version 3.2 Artologik EZbooking und EZ-Equip EZbooking, Ihre webbasierte Software zum Reservieren von Räumen und Objekten, kann nun durch die Ergänzung um ein oder

Mehr

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen. Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen. Wählen Sie nun Show Profiles und danach Add. Sie können einen beliebigen Namen für das neue Outlook Profil einsetzen.

Mehr

EasyWk DAS Schwimmwettkampfprogramm

EasyWk DAS Schwimmwettkampfprogramm EasyWk DAS Schwimmwettkampfprogramm Arbeiten mit OMEGA ARES 21 EasyWk - DAS Schwimmwettkampfprogramm 1 Einleitung Diese Präsentation dient zur Darstellung der Zusammenarbeit zwischen EasyWk und der Zeitmessanlage

Mehr

Netzwerkeinstellungen unter Mac OS X

Netzwerkeinstellungen unter Mac OS X Netzwerkeinstellungen unter Mac OS X Dieses Dokument bezieht sich auf das D-Link Dokument Apple Kompatibilität und Problemlösungen und erklärt, wie Sie schnell und einfach ein Netzwerkprofil unter Mac

Mehr

Step by Step Webserver unter Windows Server 2003. von Christian Bartl

Step by Step Webserver unter Windows Server 2003. von Christian Bartl Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird

Mehr

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung 8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung Im Folgenden wird die Konfiguration von BRRP gezeigt. Beide Router sind jeweils über Ihr Ethernet 1 Interface am LAN angeschlossen. Das Ethernet

Mehr

:: Anleitung Hosting Server 1cloud.ch ::

:: Anleitung Hosting Server 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Hosting Server

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS Oktober 2015 Tipp der Woche vom 28. Oktober 2015 Aufruf der Weboberfläche des HPM-Wärmepumpenmanagers aus dem Internet Der Panasonic

Mehr

Anbindung des eibport an das Internet

Anbindung des eibport an das Internet Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt

Mehr

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. www.blogger.com ist einer davon.

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. www.blogger.com ist einer davon. www.blogger.com Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. www.blogger.com ist einer davon. Sie müssen sich dort nur ein Konto anlegen. Dafür gehen Sie auf

Mehr

Konfiguration eines DNS-Servers

Konfiguration eines DNS-Servers DNS-Server Grundlagen des Themas DNS sind im Kapitel Protokolle und Dienste in meinem Buch (LINUX erschienen im bhv-verlag) beschrieben. Als Beispiel dient ein Intranet mit mehreren Webservern auf verschiedenen

Mehr

Einrichtung eines VPN-Zugangs

Einrichtung eines VPN-Zugangs Einrichtung eines VPN-Zugangs Einleitung Die nachfolgende Anleitung zeigt die Einrichtung eines VPN-Zugangs zum Netzwerk des Unternehmensverbundes Evangelisches Johannesstift. Diese Anleitung ist auf Basis

Mehr

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage .htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess

Mehr

Lernwerkstatt 9 privat- Freischaltung

Lernwerkstatt 9 privat- Freischaltung Was tun, wenn mein Rechner immer wieder die Freischaltung der Lernwerkstatt 9 privat verliert und ich die Ursache dafür nicht finden kann? Normalerweise genügt es, genau eine einzige online-freischaltung

Mehr

Die Statistiken von SiMedia

Die Statistiken von SiMedia Die Statistiken von SiMedia Unsere Statistiken sind unter folgender Adresse erreichbar: http://stats.simedia.info Kategorie Titel Einfach Erweitert Übersicht Datum und Zeit Inhalt Besucher-Demographie

Mehr

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden.

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden. Track in Route umwandeln ACHTUNG: Ein Track kann nur dann in eine Route umgewandelt werden, wenn der Track auf Wegen gefahren wurde. Ein Querfeldein-Track kann nicht in eine Route umgewandelt werden, da

Mehr

AWSTATS Statistik benutzen und verstehen

AWSTATS Statistik benutzen und verstehen AWSTATS Statistik benutzen und verstehen Seite stat. domäne (z.b. stat.comp-sys.ch) im Internetbrowser eingeben und mit Benutzernamen und Passwort anmelden (gemäss Anmeldedaten) Monat und Jahr wählen OK

Mehr

Tevalo Handbuch v 1.1 vom 10.11.2011

Tevalo Handbuch v 1.1 vom 10.11.2011 Tevalo Handbuch v 1.1 vom 10.11.2011 Inhalt Registrierung... 3 Kennwort vergessen... 3 Startseite nach dem Login... 4 Umfrage erstellen... 4 Fragebogen Vorschau... 7 Umfrage fertigstellen... 7 Öffentliche

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo virtuelle Maschinen mit VMware und Virtual PC Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo virtuelle DMZ mit IPCop und Webserver unter

Mehr

Installation mit Lizenz-Server verbinden

Installation mit Lizenz-Server verbinden Einsteiger Fortgeschrittene Profis markus.meinl@m-quest.ch Version 1.0 Voraussetzungen für diesen Workshop 1. Die M-Quest Suite 2005-M oder höher ist auf diesem Rechner installiert 2. Der M-Lock 2005 Lizenzserver

Mehr

EchoLink und Windows XP SP2

EchoLink und Windows XP SP2 EchoLink und Windows XP SP2 Hintergrund Für Computer auf denen Windows XP läuft, bietet Microsoft seit kurzem einen Update, in der Form des Service Pack 2 oder auch SP2 genannt, an. SP2 hat einige neue

Mehr

Man liest sich: POP3/IMAP

Man liest sich: POP3/IMAP Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und

Mehr

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

IBM Software Demos Tivoli Provisioning Manager for OS Deployment Für viele Unternehmen steht ein Wechsel zu Microsoft Windows Vista an. Doch auch für gut vorbereitete Unternehmen ist der Übergang zu einem neuen Betriebssystem stets ein Wagnis. ist eine benutzerfreundliche,

Mehr

Professionelle Seminare im Bereich MS-Office

Professionelle Seminare im Bereich MS-Office Serienbrief aus Outlook heraus Schritt 1 Zuerst sollten Sie die Kontakte einblenden, damit Ihnen der Seriendruck zur Verfügung steht. Schritt 2 Danach wählen Sie bitte Gerhard Grünholz 1 Schritt 3 Es öffnet

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Daten haben wir reichlich! 25.04.14 The unbelievable Machine Company 1

Daten haben wir reichlich! 25.04.14 The unbelievable Machine Company 1 Daten haben wir reichlich! 25.04.14 The unbelievable Machine Company 1 2.800.000.000.000.000.000.000 Bytes Daten im Jahr 2012* * Wenn jedes Byte einem Buchstaben entspricht und wir 1000 Buchstaben auf

Mehr

Fotostammtisch-Schaumburg

Fotostammtisch-Schaumburg Der Anfang zur Benutzung der Web Seite! Alles ums Anmelden und Registrieren 1. Startseite 2. Registrieren 2.1 Registrieren als Mitglied unser Stammtischseite Wie im Bild markiert jetzt auf das Rote Register

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

Konfiguration von PPTP unter Mac OS X

Konfiguration von PPTP unter Mac OS X Konfiguration von PPTP unter Mac OS X Diese Anleitung beschreibt, wie Sie eine VPN-Verbindung Verbindung mit dem Protokoll PPTP erstellen. Sie bezieht sich auf Mac OS X in der Version 10.4. (Tiger). Wenn

Mehr

INHALTSVERZEICHNIS Allgemeine Beschreibung... 3 Verwendung der Webseite... 4 Abbildungsverzeichnis... 12

INHALTSVERZEICHNIS Allgemeine Beschreibung... 3 Verwendung der Webseite... 4 Abbildungsverzeichnis... 12 ONLINE-HILFE INHALTSVERZEICHNIS 1 Allgemeine Beschreibung... 3 2... 4 2.1 Angemeldeter Benutzer... 4 2.2 Gast... 10 Abbildungsverzeichnis... 12 1 ALLGEMEINE BESCHREIBUNG Die Webseite "" ist eine Informationsplattform

Mehr

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen Inhalt Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen 2.2 Installation von Office 2013 auf Ihrem privaten PC 2.3 Arbeiten mit den Microsoft

Mehr

Anleitung zur Nutzung des SharePort Utility

Anleitung zur Nutzung des SharePort Utility Anleitung zur Nutzung des SharePort Utility Um die am USB Port des Routers angeschlossenen Geräte wie Drucker, Speicherstick oder Festplatte am Rechner zu nutzen, muss das SharePort Utility auf jedem Rechner

Mehr

Webhost Unix Statistik

Webhost Unix Statistik Webhost Unix Statistik Für jeden Betreiber eines Webservers ist es natürlich auch interessant zu wissen, welchen Erfolg das eigene Angebot hat und welche Seiten denn am öftesten abgerufen werden. Da jeder

Mehr

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der

Mehr

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Inhalt 1. Einleitung:... 2 2. Igel ThinClient Linux OS und Zugriff aus dem LAN... 3

Mehr

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof Bedienungsanleitung für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof Matthias Haasler Version 0.4 Webadministrator, email: webadmin@rundkirche.de Inhaltsverzeichnis 1 Einführung

Mehr

Speicher in der Cloud

Speicher in der Cloud Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG

Mehr

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet

Mehr

Swisscom TV Medien Assistent

Swisscom TV Medien Assistent Swisscom TV Medien Assistent Mithilfe dieses Assistenten können Sie Fotos und Musik, die Sie auf Ihrem Computer freigegeben haben, auf Swisscom TV geniessen. Diese Bedienungsanleitung richtet sich an die

Mehr

4.) Geben Sie im Feld Adresse die IP Adresse des TDC Controllers ein. Die Standard Adresse lautet 192.168.1.50.

4.) Geben Sie im Feld Adresse die IP Adresse des TDC Controllers ein. Die Standard Adresse lautet 192.168.1.50. Netzwerk: 1.) Kopieren Sie die Datei C30remote.exe von der Installations CD auf ihre Festplatte. 2.) Starten Sie die Datei C30remote.exe auf ihrer Festplatte. 3.) Wählen Sie aus dem Menü Verbindung den

Mehr

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG Um mit IOS2000/DIALOG arbeiten zu können, benötigen Sie einen Webbrowser. Zurzeit unterstützen wir ausschließlich

Mehr

Jeunesse Autopiloten

Jeunesse Autopiloten Anleitung für Jeunesse Partner! Wie Du Dir mit dem Stiforp-Power Tool Deinen eigenen Jeunesse Autopiloten erstellst! Vorwort: Mit dem Stiforp Power Tool, kannst Du Dir für nahezu jedes Business einen Autopiloten

Mehr

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0) Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0) Peter Koos 03. Dezember 2015 0 Inhaltsverzeichnis 1 Voraussetzung... 3 2 Hintergrundinformationen... 3 2.1 Installationsarten...

Mehr

Application Layer Active Network

Application Layer Active Network Folie 1 Application Layer Active Network Vortrag zur Diplomarbeit Entwicklung eines Netzwerk-Interface zur Steuerung der Datenkommunikation einer Netzwerkkarte geschrieben und gehalten von Martin Wodrich

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr

MobiDM-App Handbuch für Windows Mobile

MobiDM-App Handbuch für Windows Mobile MobiDM-App Handbuch für Windows Mobile Dieses Handbuch beschreibt die Installation und Nutzung der MobiDM-App für Windows Mobile Version: x.x MobiDM-App Handbuch für Windows Mobile Seite 1 Inhalt 1. WILLKOMMEN

Mehr

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang sysplus.ch outlook - mail-grundlagen Seite 1/8 Outlook Mail-Grundlagen Posteingang Es gibt verschiedene Möglichkeiten, um zum Posteingang zu gelangen. Man kann links im Outlook-Fenster auf die Schaltfläche

Mehr

Installation SQL- Server 2012 Single Node

Installation SQL- Server 2012 Single Node Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit

Mehr

Internet. ZyWALL- und CheckPoint-NG/VPN-Konfiguration. Konfigurationsbeispiel ZyXEL ZyWALL

Internet. ZyWALL- und CheckPoint-NG/VPN-Konfiguration. Konfigurationsbeispiel ZyXEL ZyWALL ZyWALL- und CheckPoint-NG/VPN-Konfiguration CheckPoint Next-Generation ZyWALL Internet Dieses Konfigurationsbeispiel erklärt, wie man eine VPN-Verbindung zwischen einer ZyWall und einem CheckPoint-Next-Generation

Mehr

Information zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)

Information zum SQL Server: Installieren und deinstallieren. (Stand: September 2012) Information zum SQL Server: Installieren und deinstallieren (Stand: September 2012) Um pulsmagic nutzen zu können, wird eine SQL-Server-Datenbank benötigt. Im Rahmen der Installation von pulsmagic wird

Mehr

Windows 8 Lizenzierung in Szenarien

Windows 8 Lizenzierung in Szenarien Windows 8 Lizenzierung in Szenarien Windows Desktop-Betriebssysteme kommen in unterschiedlichen Szenarien im Unternehmen zum Einsatz. Die Mitarbeiter arbeiten an Unternehmensgeräten oder bringen eigene

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Netzwerk einrichten unter Windows

Netzwerk einrichten unter Windows Netzwerk einrichten unter Windows Schnell und einfach ein Netzwerk einrichten unter Windows. Kaum ein Rechner kommt heute mehr ohne Netzwerkverbindungen aus. In jedem Rechner den man heute kauft ist eine

Mehr

Security Patterns. Benny Clauss. Sicherheit in der Softwareentwicklung WS 07/08

Security Patterns. Benny Clauss. Sicherheit in der Softwareentwicklung WS 07/08 Security Patterns Benny Clauss Sicherheit in der Softwareentwicklung WS 07/08 Gliederung Pattern Was ist das? Warum Security Pattern? Security Pattern Aufbau Security Pattern Alternative Beispiel Patternsysteme

Mehr

Comtarsia SignOn Familie

Comtarsia SignOn Familie Comtarsia SignOn Familie Handbuch zur RSA Verschlüsselung September 2005 Comtarsia SignOn Agent for Linux 2003 Seite 1/10 Inhaltsverzeichnis 1. RSA Verschlüsselung... 3 1.1 Einführung... 3 1.2 RSA in Verbindung

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor VPN Routern Rev. 3.0 Copyright 2003-2005 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt,

Mehr

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11 Kurzanleitung MEYTON Aufbau einer Internetverbindung 1 Von 11 Inhaltsverzeichnis Installation eines Internetzugangs...3 Ist mein Router bereits im MEYTON Netzwerk?...3 Start des YAST Programms...4 Auswahl

Mehr

Tutorial - www.root13.de

Tutorial - www.root13.de Tutorial - www.root13.de Netzwerk unter Linux einrichten (SuSE 7.0 oder höher) Inhaltsverzeichnis: - Netzwerk einrichten - Apache einrichten - einfaches FTP einrichten - GRUB einrichten Seite 1 Netzwerk

Mehr

Matrix42. Matrix42 Cloud Trial Erste Schritte. Version 1.0.0 03.02.2016 - 1 -

Matrix42. Matrix42 Cloud Trial Erste Schritte. Version 1.0.0 03.02.2016 - 1 - Matrix42 Matrix42 Cloud Trial Erste Schritte Version 1.0.0 03.02.2016-1 - Inhaltsverzeichnis 1Einleitung 3 2Cloud Trial Steuerung 4 2.1 Starten der Cloud-Umgebung 4 2.2 Bedienen der Maschinen in der Cloud

Mehr

Machen Sie Ihr Zuhause fit für die

Machen Sie Ihr Zuhause fit für die Machen Sie Ihr Zuhause fit für die Energiezukunft Technisches Handbuch illwerke vkw SmartHome-Starterpaket Stand: April 2011, Alle Rechte vorbehalten. 1 Anbindung illwerke vkw HomeServer ins Heimnetzwerk

Mehr

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern.

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern. Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern. 22.05.2014 trueit TechEvent 2014 1 Agenda Sysinternals allgemeine

Mehr

Andy s Hybrides Netzwerk

Andy s Hybrides Netzwerk Andy s Hybrides Netzwerk 1) Wireless LAN mit Airport... 1 2) Verbindung Mac-PC... 3 3) Verbindung PC-Mac... 6 4) Rendez-Vous mit dem PC... 8 1) Wireless LAN mit Airport Wer Wireless LAN benutzt, der sollte

Mehr

miditech 4merge 4-fach MIDI Merger mit :

miditech 4merge 4-fach MIDI Merger mit : miditech 4merge 4-fach MIDI Merger mit : 4 x MIDI Input Port, 4 LEDs für MIDI In Signale 1 x MIDI Output Port MIDI USB Port, auch für USB Power Adapter Power LED und LOGO LEDs Hochwertiges Aluminium Gehäuse

Mehr

Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress.

Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress. Anmeldung http://www.ihredomain.de/wp-admin Dashboard Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress. Das Dashboard gibt Ihnen eine kurze Übersicht, z.b. Anzahl der Beiträge,

Mehr