Dat stellen onderzoekers van de Universiteit van Maryland, naar aanleiding van een 48 dagen durend onderzoek met twee 'honeypots'.

In totaal werden meer dan 22.000 connecties geanalyseerd. Scripts deelden de connecties in vier verschillende categorieën in: connecties met minder dan vijf datapakketten (poortscans), connecties met vijf tot twaalf datapakketten (scans naar zwakke plekken), connecties met meer dan twaalf datapakketten (aanvallen) en internet control message protocol scans.

Van de aanvallende 760 ip-adressen scanden slechts 28 (3,6 procent) de poorten af. Maar liefst 381 van de 760 ip-adressen ging direct tot aanval over, zonder ooit een scan te hebben verricht.

Ruim eenvijfde van de aanvallen (21 procent) werd voorafgegaan door scans naar specifieke, zwakke plekken op een computer in het netwerk.

Johannes Ullrich van het SANS Internet Storm Center bekritiseert de opzet van het onderzoek. Hij stelt dat de onderzoekers niet naar het aantal datapakketten hadden moeten kijken, maar naar de content zelf. Sommige aanvallen zijn namelijk heel klein — in het geval van de SQL Slammer worm maar één datapakket. "Hierdoor is het best mogelijk dat veel van de poortscans in werkelijkheid aanvallen zijn geweest."

Met de conclusie van het onderzoek is Ullrich het wél eens: de kans op een aanval is vooral groot wanneer er zowel een poortscan als een scan naar zwakke plekken wordt uitgevoerd.

Bron: Techworld