LaBrea, una trappola per Nimda

Si tratta di un tool gratuito in grado, secondo il suo autore, di contrastare il diffondersi di worm come Code Red e Nimda

Web - Il suo creatore la descrive come una specie di trappola per topi digitale, solo che a rimanere in trappola qui sono questi fastidiosissimi e spesso pericolosi vermicelli di bit e byte: per intendersi Code Red o il recentissimo Nimda.

Tom Liston, webmaster di Hackbusters.net, si auto definisce un "hacker buono", impegnato nel combattere la diffusione dei worm. E così un bel giorno, quando Code Red stava ancora facendo parecchi danni in giro per il Net, il buon Liston ha ideato "LaBrea", un tool per Linux che, a suo dire, è in grado di "catturare" i tentativi di attacco dei virus worm bloccandone l'attività.

LaBrea fa uso degli indirizzi IP inutilizzati di una rete per creare degli "host virtuali" che simulano la risposta di una macchina connessa ad Internet. Quando un sistema infetto da un worm tenta di connettersi ad uno di questi host fittizi creati da LaBrea, la richiesta viene bloccata e immobilizzata per un tempo indefinito, tagliando così uno dei "tentacoli" del worm che, in questo modo, non potrà più infettare altri sistemi.
Liston sostiene di aver creato questo programma per contrastare la diffusione di Code Red, ma questo si è rivelato altrettanto efficace con il nuovo e temibile Nimda.

LaBrea è un tool free, pubblicato sotto licenza GPL, e richiede pochissima banda (appena 110 byte al secondo) e pochissime risorse di sistema. Per diventare davvero efficace, però, questo programmino dovrebbe conoscere una buona diffusione: questo perché i worm, per scandire la Rete alla ricerca di altri sistemi da infettare, in genere utilizzano più connessioni contemporanee che, se moltiplicate per il numero di macchine infette, rendono l'idea del numero di "trappole" necessarie a bloccare tutti i "tentacoli" del worm.

Sul sito Hackbusters, oltre a scaricare il tool, è possibile visionare le connessioni catturate da una macchina virtuale di LaBrea installata nella rete privata di Liston.
6 Commenti alla Notizia LaBrea, una trappola per Nimda
Ordina
  • in che costa consiste :
    la richiesta viene bloccata e immobilizzata per un tempo indefinito
    non+autenticato
  • In azienda da me ci sono molti pc infetti.
    Stamattina è impazzito uno switch 3com 3300.
    fortunatamente solo 1 e non tutti gli altri.
    In pratica è acceso e segna tutti i link connessi nonostante non ci sia nemmeno 1 pc collegato né la fibra ottica né il collegamento matrix,
    e segna tutti i link che fanno costantemente traffico.
    Non risponde più nemmeno al collegamento seriale, spegnendo ed accendendo non si risolve nulla.
    secondo voi la "morte" dell'apparato è collegabile all'altro traffico generato dal virus??
    qualcuno sa cosa fare per tentare di ripristinarlo?
    non+autenticato


  • - Scritto da: pippo

    > secondo voi la "morte" dell'apparato è
    > collegabile all'altro traffico generato dal
    > virus??
    No. Si è semplicemente rotto.

    > qualcuno sa cosa fare per tentare di
    > ripristinarlo?

    Hai provato a spegnerlo e riaccenderlo?
    non+autenticato
  • Con o senza questo Tool, se il tuo sistema non e' infetto comunque il "tentacolo" si ferma li... quindi a parte il logging delle attivita' non vedo a cosa possa servire.
    non+autenticato
  • serve ad evitare che N server con NIMDA tentando di accedere ai tuoi server, nonostante essi siano protetti, generino tanto di quel traffico sulla tua connex fino a congestionarla... e quindi rendere non disponibili all'esterno i tuoi server stessi....

    ho sperimentato io stesso il tentativo di accesso da parte di 125 macchine sul mio server web intenzionate a infilarmi 'sto worm... risultato: il 98% della banda occupato (ho una cdn 2mb con 256k di banda)...
    non+autenticato


  • - Scritto da: Luca
    > serve ad evitare che N server con NIMDA
    > tentando di accedere ai tuoi server,
    > nonostante essi siano protetti, generino
    > tanto di quel traffico sulla tua connex fino
    > a congestionarla... e quindi rendere non
    > disponibili all'esterno i tuoi server
    > stessi....

    Azz. Un genio.
    Peccato che quel coso sia perfettamente inutile
    visto che sta comunque dietro il router che ti connette ad internet Sorride

    Saluti.
    non+autenticato