Sinkhole

Aus IT-Forensik Wiki

Sinkhole

Ein Sinkhole bezeichnet im englischen ein zusammengefallenes Loch im Erdboden, in dem Gegenstände scheinbar spurlos verschwinden. In der Informatik ist ein Server gemeint, auf den unerwünschte Zugriffe umgeleitet werden. Diese Umleitung kann beispielsweise von Domain-Registrierungsstellen vorgenommen werden, wenn das CERT eine Verbindung zwischen einer bestimmten Domain und einem Schadprogramm festgestellt hat. Die Technik des Sinkholings kann auch dazu genutzt werden um ein Botnetz zu analysieren. Das Ziel ist es, alle Anfragen und Datenpakete anstelle an den Command and Control Server an den neuen eigenen Server umzuleiten. Diese gesammelten Daten können nun dafür genutzt werden um weitere Informationen über das Botnetz und eventuell über die dahinterstehenden Personen zu bekommen. Ein weiterer Vorteil ist es, so auch DDOS Angriffe effektiv umleiten bzw. blockieren zu können. Beim Phishing und DNS Spoofing nutzen kriminelle die gleiche Technik, in dem ein DNS-Server so verändert wird, das bestimmte Anfragen auf eine falsche IP umgeleitet werden.



Quellen:

  1. https://www.computerweekly.com/de/definition/Botnetz-Sinkhole
  2. https://it-service.network/it-lexikon/sinkhole
  3. https://www.biteno.com/was-ist-ein-sinkhole/