28.05.2003

THROTTLING

Bildquelle: fuZo

Netzwerk-Flaschenhals gegen Viren

Moderne Computerwürmer und -viren stellen den herkömmlichen Virenschutz vor ein Problem: Die Schädlinge verbreiten sich dank Internet und Netzwerken rasend schnell und haben bisweilen bereits Zehntausende Rechner infiziert, bevor die Unternehmen eingreifen können.

Beispiele dafür sind der "Nimda"- und der "SQLSlammer"-Wurm. "Nimda" verbreitete sich im Vorjahr kurz nach seinem Auftreten, indem er pro Sekunde nicht weniger als 400 Computer im Netzwerk kontaktierte. "SQLSlammer" bringt es immerhin noch auf 100 pro Sekunde.

Netzwerk wird überwacht

Dabei wird das Netzwerk genau überwacht, und im Falle eines unüblichen bzw. verdächtig massiven Netzwerkzugriffs wird der Wurm gesperrt ["Virus Throttling"]. "Der Vorteil ist, dass wir die Signatur des Virus nicht im Vorhinein wissen müssen", umreißt Forscher Matthew Williamson sein Konzept. "Durch seine aggressiven Verbreitungsmethoden wird der künftige Schädling sofort erkannt und erstickt."

Im Falle eines "Nimda"-Virus, wo auf Grund der plötzlich auftretenden massiven Zahl an Netzwerkverbindungen die Identifikation leicht fällt, wird der betroffene Computer innerhalb einer Sekunde gehindert, seinen schädlichen Inhalt zu verbreiten. Bei Viren, die nur einige Verbindungen pro Minute aufbauen, dauert das entsprechend länger.

Derzeit ist die Erkennungssoftware auf den Testrechnern der HP Labs installiert. Williamson will die Technologie aber mittelfristig ins Netzwerkequipment verlagern. In einem Router oder Switch sei das am ehesten sinnvoll, da unabhängig vom Betriebssystem jeder Computer überwacht werden könnte. Außerdem würde die Gefahr wegfallen, dass Viren nach der Virus-Throttling-Software suchen und diese zu löschen versuchen.