Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 21/4/2005
Et forskningsprojekt foreslår, at man skal opdage nye netværksorme ved at overvåge fejlslagne forsøg på at åbne TCP-forbindelser.Forskerne bag projektet, Shigang Chen og Sanjay Ranka fra Department of Computer & Information Science & Engineering ved University of Florida, beskriver det i artiklen "Detecting Internet Worms at Early Stage". Deres grundtanke er, at orme som Blaster og Sasser scanner tilfældige IP-adresser for at finde potentielle ofre. Hovedparten af de adresser, som de sender pakker til, har ikke åbent for den port, pakken er adresseret til. Derfor sender modtageren besked tilbage om, at TCP-forbindelsen ikke kan oprettes.
Derfor foreslår forskerne, at man kan opdage et potentielt ormeangreb ved at overvåge mængden af beskeder om forbindelser, der ikke kunne oprettes. Dermed kan man opdage angreb, inden man har kendskab til den orm, der forårsager dem.
De erkender dog, at metoden kun virker ved TCP-baserede angreb. Angreb via UDP, som for eksempel Slammer-ormen anvender, kan ikke opdages på denne måde.
Forskerne foreslår, at metoden suppleres med andre metoder til at danne fingeraftryk af de orme, der opdages.