Mit virtuellen Maschinen

Supercomputer simuliert eine Million Zombie-PCs

Datum:04.08.2009
Autor(en):Armin Weiler

Forscher der Sandia National Laboratories haben erstmals erfolgreich demonstriert, wie in einem Supercomputer über eine Million Linux-Kernels als virtuelle Maschinen (VMs) laufen. Das so entstehende virtuelle Netzwerk soll Cybersecurity-Experten helfen, das Verhalten von Botnetzen leichter als durch eine Analyse realer, global verteilter Zombie-PC-Netzwerke zu erforschen und dadurch ihre Funktionsweise besser zu durchschauen. "Eventuell kann man mit einer solchen Simulation die Kommunikation innerhalb von Botnetzen besser verstehen", meint dazu Thorsten Holz, Botnetz-Experte der Universität Mannheim. Allerdings ist für ihn die Frage, ob das virtuelle Internet realweltliche Bedingungen gut genug wiedergeben kann.

Forscher der Sandia National Laboratories¹ haben erstmals erfolgreich demonstriert, wie in einem Supercomputer über eine Million Linux-Kernels als virtuelle Maschinen² (VMs) laufen. Das so entstehende virtuelle Netzwerk soll Cybersecurity-Experten helfen, das Verhalten von Botnetzen leichter als durch eine Analyse realer, global verteilter Zombie-PC-Netzwerke zu erforschen und dadurch ihre Funktionsweise besser zu durchschauen. "Eventuell kann man mit einer solchen Simulation die Kommunikation innerhalb von Botnetzen besser verstehen", meint dazu Thorsten Holz, Botnetz-Experte der Universität Mannheim³. Allerdings ist für ihn die Frage, ob das virtuelle⁴ Internet realweltliche Bedingungen gut genug wiedergeben kann.

Bislang haben Forscher nur etwa 20.000 Kernels gleichzeitig als VMs betreiben können, so Sandia-Technikexperte Ron Minnich. Dadurch, diese Zahl in die Höhe zu treiben, hofft man, die entstehenden virtuellen⁵ Netzwerke zur Cybersecurity-Forschung nutzen zu können. "Langfristig wollen wir das Netzwerk eines kleinen Landes oder sogar eines großen wie den USA emulieren, um Cyberangriffe zu 'virtualisieren'⁶ und zu überwachen", so Minnich.

Mehr zu virtuellen Maschinen

Schutz persönlicher Daten mangelhaft⁹
11 Tipps für den Betrieb von Rechenzentren¹⁰
Sicherheit in virtualisierten Umgebungen¹¹
10 Tipps für erfolgreich Virtualisierungsprojekte¹²
Updates als Überbringer schädlicher Software¹³

Beispielsweise hofft man bei Sandia, dass die virtuellen⁷ Netze es erlauben, das Verhalten von Botnetzen zu beobachten und Gegenstrategien zu entwickeln. Minnich ist überzeugt, dass der Ansatz helfen kann, Phänomene des Internets besser zu verstehen. "Indem wir echte Betriebssystem-Instanzen verwenden, um Knoten im Internet darzustellen, werden wir nicht nur die Funktionsweise des Internets auf Netzwerkebene, sondern auch Internet-Funktionalität emulieren können", so der Technikexperte.

Simulation eines Botnets

Holz dagegen ist skeptisch, inwieweit die von Sandia geplanten Simulationen dem Botnetz-Verständnis wirklich helfen können. "Dazu fehlen einfach zu viele Parameter wie unter anderem nicht-infizierte Maschinen, die Latenz beim Versenden von Nachrichten, Router und andere Netzwerkkomponenten", meint der Botnetz-Forscher. Auch, ob die Verwendung von Linux-Kernels statt Windows-Systemen dem Verständnis realer Botnetze zuträglich ist, erscheint fraglich. "Ein Linux-Kernel verhält sich teilweise doch ganz anders als ein komplettes Windows-System", erklärt Holz.

Das gilt besonders dann, wenn im Kernel keine anderen Anwendungen laufen, wie das in einem realen System der Fall wäre. Auch die Kommunikation zwischen Systemen könne anders aussehen als in realen Umgebungen. Allerdings glaubt er, dass der Sandia-Ansatz im Bereich Honeypots (Fallen-Systeme für illegale Aktivitäten im Internet) interessant sein könnte. " Man könnte auf entsprechend vielen IP-Adressen einen verwundbaren Rechner simulieren", sagt Holz.

Unabhängig davon, wie gut die Internet-Simulation im Supercomputer dem Verständnis um und Kampf gegen Botnetze tatsächlich auf die Sprünge helfen kann, erfordert sie jedenfalls sehr leistungsfähige Systeme. Um die eine Mio. Linux-Kernels gleichzeitig zu betreiben, haben die Sandia-Forscher den in Albuquerque angesiedelten Dell-Cluster "Thunderbird" mit 4.480 physischen Knoten genutzt. Er zählte 2006 zu den zehn stärksten Superrechnern der Welt und nahm in der im Juni veröffentlichten aktuellsten Auflage der Liste der 500 rechenstärksten Supercomputer der Welt⁸ immerhin noch Platz 70 ein. (pte/rw)

Links im Artikel:

¹ http://www.sandia.gov/
² http://channelpartner.de/produkte/virtualisierung/
³ http://www.uni-mannheim.de/
⁴ http://channelpartner.de/knowledgecenter/virtualisierung/280372/index.html
⁵ http://channelpartner.de/knowledgecenter/virtualisierung/280206/index.html
⁶ http://channelpartner.de/knowledgecenter/virtualisierung/280247/index.html
⁷ http://channelpartner.de/knowledgecenter/virtualisierung/280092/index.html
⁸ http://www.top500.org/
⁹ http://channelpartner.de/knowledgecenter/security/280407/index.html
¹⁰ http://channelpartner.de/knowledgecenter/virtualisierung/280372/index.html
¹¹ http://channelpartner.de/knowledgecenter/virtualisierung/279971/index.html
¹² http://channelpartner.de/knowledgecenter/virtualisierung/280030/index.html
¹³ http://channelpartner.de/knowledgecenter/security/280340/index.html

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.