neprihlásený Štvrtok, 30. mája 2024, dnes má meniny Ferdinand
Nový nástroj oskenuje celý Internet za 44 minút

DSL.sk, 20.8.2013


Výskumníci z Michiganskej univerzity predstavili v piatok na bezpečnostnej konferencii Usenix Security nový open source nástroj ZMap, ktorý dokáže oskenovať z jedného serveru celý IPv4 Internet za 44 minút.

Nástroj pre Linux dokáže zo servera nižšej triedy s jedným gigabitovým portom za tento čas odoslať po jednom pakete na každú IPv4 adresu a zároveň prijímať prípadné odpovede, pričom priemerne vyťažuje gigabitové rozhranie servera na 97%.

ZMap pracuje striktne bez pamätania si akéhokoľvek stavu respektíve udržiavania pamäťových štruktúr pre jednotlivé adresy, pakety posiela a prijíma s obchádzaním TCP/IP stacku priamo generovaním Ethernet paketov.

IPv4 adresy majú 32 bitov, čo znamená takmer 4.3 miliárd možných adries. Pri ich oskenovaní za 44 minút tak nástroj odosiela cca 1.6 milióna paketov za sekundu. Adresy samozrejme neskenuje sekvenčne, aby nepreťažil cieľové siete respektíve neaktivoval ochrany proti útokom a skenovaniam. Namiesto toho pakety posiela na adresy v premiešanom poradí generovanom permutáciou celého adresného priestoru.

Podľa odhadov autorov sken s odoslaním jedného paketu na každú adresu úspešne pokryje približne 98% používaných IPv4 adries, kvôli napríklad aktuálnym výpadkom v niektorých sieťach a podobne. Dva skeny by už mali pokryť 100% adries.

Autori nástroj použili za rok na približne dvesto skenov celého Internetu. Okrem iného zisťovali počet platných SSL certifikátov používaných na zabezpečenie HTTPS webov na porte 443, ktorých identifikovali v máji tohto roka 3.27 miliónov, ale tiež na identifikovanie zariadení zraniteľných cez zraniteľnosti v UPnP identifikované v januári tvorcom Metasploitu.

Milióny zraniteľných zariadení autori ZMap pomocou tohto nástroja identifikovali za dve hodiny. Nástroj tak môže byť efektívny na mapovanie stavu IPv4 Internetu, zároveň ide ale o efektívny nástroj pre útočníkov umožňujúci pre viaceré typy zraniteľností efektívne vyhľadávať zraniteľné zariadenia.

Jeho efektívne fungovanie samozrejme umožňuje relatívne malý adresný IPv4 priestor. Hoci zásoby voľných IPv4 adries v držaní regionálnych registrátorov na viacerých kontinentoch sa už vyčerpali, Internet zatiaľ reálne nezačal prechádzať na nový protokol IPv6 so 128-bitovými adresami.

Priestor 128-bitových adries samozrejme nebude možné podobne efektívne skenovať celý a ak nevzniknú databázy obmedzených používaných rozsahov adries podobné nástroje ako ZMap nebude možné pre IPv6 vytvoriť.

ZMap je open source a umožňuje dopĺňanie modulmi pre špecifické skeny. Nástroj je možné sťahovať z jeho stránky zmap.io.


      Zdieľaj na Twitteri



Najnovšie články:

Orange na časti územia zrýchľuje pevné 4G pripojenie na 100 Mbps a zvyšuje FUP
Enkóder AV1 videa SVT-AV1 zrýchlil a zlepšil kvalitu
SNS chce efektívne zrušiť doterajšie internetové diskusie, weby by museli získavať rodné číslo a overovať ho
Nová generácia AMD Ryzenov s jadrom Zen 5 má prísť v júli
Nvidia má údajne uviesť ARM CPU pre PC
Apple má v 2026 spustiť predaj MacBooku s displejom aj namiesto klávesnice
Tretí let Starship zlyhal kvôli upchávaniu, štvrtý má stanovený dátum
Aj v Česku vytvoril hokej rekord internetovej prevádzky, cez 3 Tbps
Na Slovensku tento rok vznikne ďalšia väčšia sieť balíkoboxov
O2 výrazne zdražuje denné dáta, označuje to za vylepšenie ponuky


Diskusia:
                               
 

FBI, NSA, CIA, Google uz na tekom ficia dlho
Odpovedať Známka: 6.0 Hodnotiť:
 

a co galkofonus regalus kauflandus?
Odpovedať Známka: -7.2 Hodnotiť:
 

hrasko jebnutus?
Odpovedať Známka: 8.8 Hodnotiť:
 

cikulokopteris ustnodutinus
Odpovedať Známka: 6.0 Hodnotiť:
 

Nice post )
http://wmshkuctv.com my blog
Odpovedať Hodnotiť:
 

Ked sembudeš pliest politiku, taksi znepriatelíš väčšinu osadenstva dsl.sk :)

<troll> Galko bol správny chlap na správnom mieste </troll>
Odpovedať Známka: -5.0 Hodnotiť:
 

aj keby za 10 rokov nastroj dokazal skenovať cely net nie za 44,ale za 4 net,tak hackerov bude stale rovnako,ak nie viac....takže čo z načatym večerom....
Odpovedať Známka: -7.2 Hodnotiť:
 

hop,myslienka bola: nie za 44 ale za 4 min. o)
Odpovedať Známka: -5.3 Hodnotiť:
 

urcite tam bola nejaka myslienka?
Odpovedať Známka: 8.9 Hodnotiť:
 

bola, ale bohuzial je jednosmerne zasifrovana
Odpovedať Známka: 9.5 Hodnotiť:
 

lol ujebyy, ale ste mu dali :D
Odpovedať Známka: -6.2 Hodnotiť:
 

vrat sa na 9 fag
Odpovedať Známka: 2.7 Hodnotiť:
 

jak si uhadol? bola tam urcite niejaka o)))
Odpovedať Známka: -10.0 Hodnotiť:
 

Pod mintom nenahodim, nepaci sa mu jeden riadok v kode a ked ho pekne odignorujem tak zmap zas odignoruje mna :)
Odpovedať Známka: -1.2 Hodnotiť:
 

pod mintom bezi v pohode :)
Odpovedať Známka: 0.0 Hodnotiť:
 

Vsade dobre, pod Debianom najlepsie :)
Odpovedať Známka: 5.8 Hodnotiť:
 

Co s tymto?

l -Wno-format-y2k -Werror -c -o blacklist.o ../lib/blacklist.c
../lib/blacklist.c: In function ‘blacklist_init_from_files’:
../lib/blacklist.c:127:6: error: left shift count >= width of type [-Werror]
../lib/blacklist.c:127:27: error: division by zero [-Werror=div-by-zero]
cc1: all warnings being treated as errors
make: *** [blacklist.o] Error 1

Odpovedať Známka: 5.0 Hodnotiť:
 

To si nevsimaj, stlac "ok"
Odpovedať Známka: 10.0 Hodnotiť:
 

Ked si to "nevsimnem" tak ma nepusti k samotnej instalacii a ked ho dam odignorovat, tak mi zmap nenainstaluje.
Odpovedať Známka: 7.1 Hodnotiť:
 

skusal si to vypnut a zapnut? mas v mechanike zalozenu spravnu disketu?
Odpovedať Známka: 10.0 Hodnotiť:
 

no, mas linux, tak si zvykaj, ze tam vela veci nepojde, dokonca ani tie, ktore su robene prave pre linux ;)
Odpovedať Známka: -2.7 Hodnotiť:
 

Nejde o nejake zvykanie si, len som moc tej chybe nepochopil.
Odpovedať Známka: 3.3 Hodnotiť:
 

chybe nepochopil = kečke blud
Odpovedať Známka: 5.0 Hodnotiť:
 

Ale tu keksy a kokotiny
Odpovedať Hodnotiť:
 

a ja som si myslel, ze Hejl uz spustil hlodac naplno.
Odpovedať Známka: 6.2 Hodnotiť:
 

preto netreba pouzivat standardne porty
Odpovedať Známka: 4.0 Hodnotiť:
 

a teď si vás všechny pingnu!
Odpovedať Známka: 9.1 Hodnotiť:
 

Necital som ten research papier cely, ale je to dost zidealizovane. Jednak posiela v default nastaveni jeden request na ip adresu, cize ak ma nejaka linka vecsi timeout moze sa stat ze vyhodnoti danu ip adresu ako nefunkcnu. Dalsia vec, dnes je velka cast zariadeny skovana za NATom a take samozrejme tento scanner neoskenuje. To je prave podstata IPv6 ze kazde zariadenie bude mat svoju jedninecnu ip adresu viditelnu z vonku a NAT nebude potrebny.
Odpovedať Známka: -0.9 Hodnotiť:
 

Nikto netvrdil ze to oskenuje privatne ip za natom. Ma to oskenovat 32 bitovy ipv4 adressny priestor. Takze ho zauima iba ten nat. To ze je vonku 2x viac privatnych napr systemov bez verejnej ip nikoho netrapi pretoze o to tu ani nejde... Takze ono to "oskenuje" cely internet - viz.definicia internetu.
Odpovedať Známka: 10.0 Hodnotiť:
 

A k timeoutu: mozem ti bez citania research peperu garantovat ze nejde sekvencne a necaka na respones bez toho aby nesiel dalej. Neviem kolko ram si vyzaduje odporucana zostava. Ale ked tam toho natlacis dost tak moze kludne na prve responses cakat aj 40 minut, kedze si target drzi v ram ktora nebude plna. Rozhadzuje siete a caka kto sa ozve..
Odpovedať Hodnotiť:
 

Cielom ipv6 nie je aby malo kazde zariadenie verejnu ip. Cielom je dost verejnych ip pre tych kto ich potrebuje. Netusim naco by bolo vacsine neserverovych systmov verejna ip. Verejna ip na domacom pc, mobile, konzole, chladnicke... Atd atd - by bolo obycajne bezpecnostne a nicim nepodlozene riziko. Vacsina ludi by mala a aj ostane za natom - neni lepsej ochrany pre bezneho usera ako je nat bez forwardingu
Odpovedať Známka: 5.0 Hodnotiť:
 

bez porna za dve minúty...
Odpovedať Známka: -1.1 Hodnotiť:
 

Chlapci moji, takto to dalej nepojde:

$ dig AAAA dsl.sk

; <<>> DiG 9.8.1-P1 <<>> AAAA dsl.sk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46760
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;dsl.sk. IN AAAA

;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Aug 20 13:12:17 2013
;; MSG SIZE rcvd: 24

Redakcia, planujete s tym nieco robit????
Odpovedať Známka: 5.0 Hodnotiť:
 

mozes vysvetlit? nerozumiem co je toto
Odpovedať Známka: 6.2 Hodnotiť:
 

To po našom hovorí, že dsl.sk nemá IPv6 adresu.
Odpovedať Známka: 10.0 Hodnotiť:
 

a naco je im ked maju uz ipv4?
Odpovedať Známka: -6.7 Hodnotiť:
 

man dig
Odpovedať Známka: 6.0 Hodnotiť:
 

Mňa napríklad dojal konzolový manuál na manuál "man man" :D
Odpovedať Známka: 10.0 Hodnotiť:
 

a je ze spomina mandinga :D
Odpovedať Známka: 6.7 Hodnotiť:
 

TRAPAK. koho tu chces ohurovat? Milujem ked sa nejaky curamet hra na geeka.
Odpovedať Známka: -4.1 Hodnotiť:
 

Ja by som vsetkych tych hekerov zakazal
Odpovedať Známka: 8.3 Hodnotiť:
 

nie je nic lepsie nez luzer, co nepozna zakladne prikazy :(
Odpovedať Hodnotiť:
 

zakladne prikazy ? umy riad, povysavaj, vynes smetie, navar veceru.
Odpovedať Známka: 3.3 Hodnotiť:
 

super, uz len tu gigabitovu linku teda... snad nebude padat jak telekom pod nmapom...

mne sa paci aj tato moznost >> internetcensus2012.bitbucket.org
Odpovedať Hodnotiť:
 

ICMP ping paket má u mňa 96 bajtov. Ak ho chcem poslať na 2^32 adries, tak je to 96*2^32 bajtov čo je 96*2^32/2^30 GB čo je 384GB. Ak by aj toho paketu vyhodili 48 bajtov dát, tak sa dostaneme na 192GB. Za 44 minút. To mi vychádza na približne 600 Mbps.
Odpovedať Známka: 10.0 Hodnotiť:
 

Si to cekoval cez nieco?
Klasicky aj s crc aj payloadom by mal mat 74
Odpovedať Hodnotiť:
 

cely internet za 44 minut, cely internet bez porna 0,44 sekundy
Odpovedať Známka: 10.0 Hodnotiť:
 

Samozrejme, že je to nezmysel.

Určite tým neoskenujú celý internet, v skutočnosti iba malú časť z neho, iba verejne dostupné adresy. Ale to ani zďaleka nie je celý internet.

Tvrdiť, že áno, je ako tvrdiť, že som si prezrel celé mesto, keď som sa len prešiel po hlavných uliciach...
Odpovedať Hodnotiť:

Pridať komentár