Sperrlisten-Management
Systeme am UHH-Netz, von denen massive Scan-Angriffe ausgehen, werden vollautomatisch gesperrt. Dieses geschieht innerhalb von 15 bis 30 Minuten, nachdem der massive Angriff von diesem System begonnen hat. Die genaue Zeitdauer hängt von mehreren Parametern ab, auf die wir keinen Einfluss haben. Es ist auch im Nachhinein nicht mehr genauer festzustellen, wann der Angriff begonnen hat. Diese Systeme befinden sich in der Sperrliste mit der Begründung:
Automatische Sperrung wegen massiver Scanaktivitaeten. Severity: xxxx xxx
Dabei gibt die erste Zahl der "Severity" an, mit welcher Intensität der Angriff erfolgte. Im Normalbetrieb haben Rechner von Endanwendern eine Intensität von unter 50, sehr stark genutzte Server eine Intensität von unter 1000. Ab 2000 ist mit Sicherheit von einem Missbrauch auszugehen, ab 4000 handelt es sich um einen massiven Missbrauch, der irgendwo Störungen verursacht.
Die zweite Zahl ist ein Indiz fuer die Qualität des Scans und muss in Relation zur Intensität betrachtet werden. Wenn die Qualität über 90% der Intensität liegt, handelt es sich vermutlich nicht um einen Scan, sondern eine andere Art des Missbrauchs. Wenn sie zwischen 60 und 90% liegt, ist von einem sehr erfolgreichen Scan auszugehen. Unter 60% liegen Scans, die einfach alles Mögliche durchprobieren.
Leider können wir nicht automatisch ermitteln, was genau passiert oder wodurch es verursacht wird.
Hinweis: Da im Zweifelsfall das gesamte Netz "hinter" einem NAT-System (Network Address Translation) gesperrt wird, wird vom Betrieb solcher NAT-Systeme innerhalb des UHH-Netzes abgeraten.
Hinweise zur Entsperrung.