[sage] Rätselhafte UDP Verbindungsversuche

[Juergen Kahnert]

Hallo,

On Fri, Dec 19, 2008 at 03:33:59PM +0100, Peter l Jakobi wrote:
> Lt.  dem  Artikel muesste dann nur noch der liebe Cracker die  jeweils
> berechneten  Domains  registrieren und bestuecken, und er haette  sein
> Botnetz wieder einsatzfaehig fuer Spam-Verkauf, etc.

ja, eine interessante Erklärung, erscheint uns aber nicht ganz schlüssig.

1. Die Kisten aus Botnetzen sind i.A. auf der ganzen Welt verstreut. Hier
   haben wir aber fast ausschließlich IPs aus China.
 
2. Würde ich davon ausgehen, dass eine derartige Domain nicht gerade beim
   Denic registriert wird.

3. Würde ich, wenn ich den Algorithmus entwickelt hätte, Domainnamen mit
   mehr als 4 Zeichen wählen, um eine höhere Wahrscheinlichkeit für eine
   freie Domain zu haben.

4. Es werden Domains und keine IP Adressen berechnet. Wie kommt also aus-
   gerechnet unsere IP in diesen Algorithmus?

5. Sind uns schon am Anfang des Jahres diese Verbindungen aufgefallen, und
   ab dem 11. Oktober verstärkt, also schon lange vor dem 11. November der
   McColo Zwangsabschaltung.

Unterm Strich würden wir darauf tippen, dass es in diesem Fall etwas ander-
es ist.

Dennoch eine neue Perspektive, zumindest wäre es eine Erklärung dafür, dass
immer wieder frische IP Adressen auftauchen. Aber diesen Punkt haben wir
noch nicht ganz herausgearbeitet, ob also tatsächlich keine alten IPs erneut
aufschlagen, ist noch nicht in Gänze geklärt.

    Jürgen


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20081219/92a3dc94/attachment.bin