Analyse von Scans im Internet
- Degree programme: MAS Cyber Security
- Author: Mauro Guadagnini
- Year: 2025
Zugangspunkte im Internet erfahren dauerhaft Anfragen von diversen Quellen. Diese Anfragen oder "Scans" dienen unter anderem der Aufklärung von verwundbaren Diensten oder dem Erstellen von Suchmaschinen-Einträgen. Ziel dieser Arbeit ist es, den Ursprung und die Absicht der Scans zu ermitteln, inklusive der Menge an bösartigen Scans.
Grundlagen
Scans, die von bekannten Institutionen oder Anwendungen stammen, weisen sich entsprechend aus. Zuletzt bekannte Erkenntnisse zum Anteil dieser Scans am üblichen Netzwerkverkehr stammen aus 2018. Seit 2023 existiert mit RFC 9511 ein Dokument mit Vorschlägen zur Identifikation von Scans und deren Quellen. Mit JA4+ existiert ebenfalls seit dann eine Auswahl an Netzwerk-Fingerprinting-Methoden unter anderem zur Detektion bestimmter Applikationen. Diverse Institutionen pflegen Datenbanken mit bekannten "Indicators of Compromise (IoC)", die beispielsweise IP-Adressen in Verbindung mit bösartigen Aktivitäten führen.
Methoden
Um die Ursprünge und Absicht der Scans zu ermitteln, gilt es diese aufzuzeichnen. Dazu werden zehn möglichst global verteilte Scan-Ziele und eine zentrale Analyse-Infrastruktur mit dem Software-Produkt "Malcolm" aufgebaut. Diese Scan-Ziele replizieren den erfahrenen Netzwerkverkehr über einen VPN-Tunnel zur zentralen Infrastruktur (Port-Mirroring), die den Verkehr aufzeichnet und auswertet.
Die Auswertungsfunktionalität wird anhand eigener Skripts und automatisiert angereicherten Tabellen erweitert, die Merkmale zu bekannten Scan-Quellen beinhalten. Die zu ermittelnde Intention eines Scans wird in "good" und "bad" aufgeteilt.
Institutionen oder Applikationen, die ihre Scans ausweisen, erzielen bei der Analyse die Absicht "good". Quellen oder Scans in Verbindung mit Malware oder sonstigen bösartigen Aktivitäten fallen in die zweite Kategorie. Diese Kategorien sind in den Einträgen zuvor erwähnter Tabellen vermerkt. Auswertungen sind anhand von Malcolm oder selbst erstellten Übersichten und Visualisierungen dynamisch einseh- und filterbar.
Ergebnisse
Betrachtet werden Daten aus dem Januar 2025, mit zusätzlichen Tagen in angrenzenden Monaten (Total 40 Tage). Im Durchschnitt fallen ungefähr 5% der detektierten Scans mit der Intention "bad" aus.
Je nach Scan-Ziel und Platzierung sind Anteile von 2.5 bis 10.5% ersichtlich. Hauptsächlich handelt es sich hierbei um Quellen, deren IP-Adresse in Verbindung mit bösartigen Aktivitäten stehen. Scans der Kategorie "good" stammen aus diversen Scan-Institutionen sowie der Scan-Applikation "ZMap". Verbindungen, die den Vorschlägen von RFC 9511 entsprechen, werden keine detektiert. Anhand der Methode JA4T (TCP Client Fingerprinting) aus JA4+ werden weitere Scan-Applikationen wie "masscan" und "Nmap" ermittelt.
Die nachvollziehbar aufgebaute Analyse-Umgebung wird nach dieser Arbeit übergeben und weiter betrieben. Zusätzliche Auswertungen sowie Erweiterungen sind somit zukünftig möglich. Scan-Ziele können nach Bedarf hinzugefügt und entfernt werden.
Die Thesis sowie erstellter Code sind öffentlich unter guadm.github.io einsehbar.
Experten und Themensponsoring
Hierbei handelt es sich um eine Forschungsarbeit mit den Experten Prof. Hansjürg Wenger, Prof. Dr. Bruce Nikkel und Prof. Rolf Lanz. Themensponsoring und Auftraggebende bilden das TI Cyber Security Lab der Berner Fachhochschule.
