Nový nástroj oskenuje celý Internet za 44 minút

DSL.sk, 20.8.2013

Výskumníci z Michiganskej univerzity predstavili v piatok na bezpečnostnej konferencii Usenix Security nový open source nástroj ZMap, ktorý dokáže oskenovať z jedného serveru celý IPv4 Internet za 44 minút.

Nástroj pre Linux dokáže zo servera nižšej triedy s jedným gigabitovým portom za tento čas odoslať po jednom pakete na každú IPv4 adresu a zároveň prijímať prípadné odpovede, pričom priemerne vyťažuje gigabitové rozhranie servera na 97%.

ZMap pracuje striktne bez pamätania si akéhokoľvek stavu respektíve udržiavania pamäťových štruktúr pre jednotlivé adresy, pakety posiela a prijíma s obchádzaním TCP/IP stacku priamo generovaním Ethernet paketov.

IPv4 adresy majú 32 bitov, čo znamená takmer 4.3 miliárd možných adries. Pri ich oskenovaní za 44 minút tak nástroj odosiela cca 1.6 milióna paketov za sekundu. Adresy samozrejme neskenuje sekvenčne, aby nepreťažil cieľové siete respektíve neaktivoval ochrany proti útokom a skenovaniam. Namiesto toho pakety posiela na adresy v premiešanom poradí generovanom permutáciou celého adresného priestoru.

Podľa odhadov autorov sken s odoslaním jedného paketu na každú adresu úspešne pokryje približne 98% používaných IPv4 adries, kvôli napríklad aktuálnym výpadkom v niektorých sieťach a podobne. Dva skeny by už mali pokryť 100% adries.

Autori nástroj použili za rok na približne dvesto skenov celého Internetu. Okrem iného zisťovali počet platných SSL certifikátov používaných na zabezpečenie HTTPS webov na porte 443, ktorých identifikovali v máji tohto roka 3.27 miliónov, ale tiež na identifikovanie zariadení zraniteľných cez zraniteľnosti v UPnP identifikované v januári tvorcom Metasploitu.

Milióny zraniteľných zariadení autori ZMap pomocou tohto nástroja identifikovali za dve hodiny. Nástroj tak môže byť efektívny na mapovanie stavu IPv4 Internetu, zároveň ide ale o efektívny nástroj pre útočníkov umožňujúci pre viaceré typy zraniteľností efektívne vyhľadávať zraniteľné zariadenia.

Jeho efektívne fungovanie samozrejme umožňuje relatívne malý adresný IPv4 priestor. Hoci zásoby voľných IPv4 adries v držaní regionálnych registrátorov na viacerých kontinentoch sa už vyčerpali, Internet zatiaľ reálne nezačal prechádzať na nový protokol IPv6 so 128-bitovými adresami.

Priestor 128-bitových adries samozrejme nebude možné podobne efektívne skenovať celý a ak nevzniknú databázy obmedzených používaných rozsahov adries podobné nástroje ako ZMap nebude možné pre IPv6 vytvoriť.

ZMap je open source a umožňuje dopĺňanie modulmi pre špecifické skeny. Nástroj je možné sťahovať z jeho stránky zmap.io.




Najnovšie články:



Diskusia:

aha.. Od: klovatina | Pridané: 20.8.2013 11:16 FBI, NSA, CIA, Google uz na tekom ficia dlho Odpovedať Známka: 6.0 Hodnotiť:

Re: aha.. Od: hrasko | Pridané: 20.8.2013 13:17 a co galkofonus regalus kauflandus? Odpovedať Známka: -7.2 Hodnotiť:

Re: aha.. Od: 34535 | Pridané: 20.8.2013 15:57 hrasko jebnutus? Odpovedať Známka: 8.8 Hodnotiť:

Re: aha.. Od: lel | Pridané: 20.8.2013 21:57 cikulokopteris ustnodutinus Odpovedať Známka: 6.0 Hodnotiť:

order tramadol online without prescription Od: truggerry | Pridané: 18.9.2013 1:15 Nice post ) http://wmshkuctv.com my blog Odpovedať Hodnotiť:

Re: aha.. Od: Solo Kamen | Pridané: 20.8.2013 20:05 Ked sembudeš pliest politiku, taksi znepriatelíš väčšinu osadenstva dsl.sk :) <troll> Galko bol správny chlap na správnom mieste </troll> Odpovedať Známka: -5.0 Hodnotiť:

aj keby Od: ppp p | Pridané: 20.8.2013 11:16 aj keby za 10 rokov nastroj dokazal skenovať cely net nie za 44,ale za 4 net,tak hackerov bude stale rovnako,ak nie viac....takže čo z načatym večerom.... Odpovedať Známka: -7.2 Hodnotiť:

Re: aj keby Od: ppp p | Pridané: 20.8.2013 11:18 hop,myslienka bola: nie za 44 ale za 4 min. o) Odpovedať Známka: -5.3 Hodnotiť:

Re: aj keby Od: urcitebola | Pridané: 20.8.2013 11:28 urcite tam bola nejaka myslienka? Odpovedať Známka: 8.9 Hodnotiť:

Re: aj keby Od: Anabela, zajtra Jana | Pridané: 20.8.2013 11:33 bola, ale bohuzial je jednosmerne zasifrovana Odpovedať Známka: 9.5 Hodnotiť:

Re: aj keby Od: xixixixixi | Pridané: 20.8.2013 12:05 lol ujebyy, ale ste mu dali :D Odpovedať Známka: -6.2 Hodnotiť:

Re: aj keby Od: 0errorx | Pridané: 20.8.2013 12:43 vrat sa na 9 fag Odpovedať Známka: 2.7 Hodnotiť:

Re: aj keby Od: ppp p | Pridané: 20.8.2013 12:47 jak si uhadol? bola tam urcite niejaka o))) Odpovedať Známka: -10.0 Hodnotiť:

posielam kvety Od: :-) | Pridané: 20.8.2013 11:19 Pod mintom nenahodim, nepaci sa mu jeden riadok v kode a ked ho pekne odignorujem tak zmap zas odignoruje mna :) Odpovedať Známka: -1.2 Hodnotiť:

Re: posielam kvety Od reg.: XAPOH | Pridané: 20.8.2013 11:59 pod mintom bezi v pohode :) Odpovedať Známka: 0.0 Hodnotiť:

Re: posielam kvety Od reg.: errnope | Pridané: 20.8.2013 12:05 Vsade dobre, pod Debianom najlepsie :) Odpovedať Známka: 5.8 Hodnotiť:

Re: posielam kvety Od: :-) | Pridané: 20.8.2013 14:20 Co s tymto? l -Wno-format-y2k -Werror -c -o blacklist.o ../lib/blacklist.c ../lib/blacklist.c: In function ‘blacklist_init_from_files’: ../lib/blacklist.c:127:6: error: left shift count >= width of type [-Werror] ../lib/blacklist.c:127:27: error: division by zero [-Werror=div-by-zero] cc1: all warnings being treated as errors make: *** [blacklist.o] Error 1 Odpovedať Známka: 5.0 Hodnotiť:

Re: posielam kvety Od: Hafffff | Pridané: 20.8.2013 14:52 To si nevsimaj, stlac "ok" Odpovedať Známka: 10.0 Hodnotiť:

Re: posielam kvety Od: :-) | Pridané: 20.8.2013 14:54 Ked si to "nevsimnem" tak ma nepusti k samotnej instalacii a ked ho dam odignorovat, tak mi zmap nenainstaluje. Odpovedať Známka: 7.1 Hodnotiť:

Re: posielam kvety Od: lololololol | Pridané: 21.8.2013 7:48 skusal si to vypnut a zapnut? mas v mechanike zalozenu spravnu disketu? Odpovedať Známka: 10.0 Hodnotiť:

Re: posielam kvety Od: jubnutus | Pridané: 21.8.2013 8:11 no, mas linux, tak si zvykaj, ze tam vela veci nepojde, dokonca ani tie, ktore su robene prave pre linux ;) Odpovedať Známka: -2.7 Hodnotiť:

Re: posielam kvety Od: :-) | Pridané: 21.8.2013 10:27 Nejde o nejake zvykanie si, len som moc tej chybe nepochopil. Odpovedať Známka: 3.3 Hodnotiť:

Re: posielam kvety Od: tazas | Pridané: 21.8.2013 10:40 chybe nepochopil = kečke blud Odpovedať Známka: 5.0 Hodnotiť:

Re: posielam kvety Od: :-) | Pridané: 22.8.2013 0:16 Ale tu keksy a kokotiny Odpovedať Hodnotiť:

............. Od reg.: pocitujlasku | Pridané: 20.8.2013 11:39 a ja som si myslel, ze Hejl uz spustil hlodac naplno. Odpovedať Známka: 6.2 Hodnotiť:

porty Od: adfafafdf | Pridané: 20.8.2013 11:44 preto netreba pouzivat standardne porty Odpovedať Známka: 4.0 Hodnotiť:

titulok? Od: ježiši_načo_meno | Pridané: 20.8.2013 12:39 a teď si vás všechny pingnu! Odpovedať Známka: 9.1 Hodnotiť:

myslienka pekna Od: nemo22 | Pridané: 20.8.2013 12:40 Necital som ten research papier cely, ale je to dost zidealizovane. Jednak posiela v default nastaveni jeden request na ip adresu, cize ak ma nejaka linka vecsi timeout moze sa stat ze vyhodnoti danu ip adresu ako nefunkcnu. Dalsia vec, dnes je velka cast zariadeny skovana za NATom a take samozrejme tento scanner neoskenuje. To je prave podstata IPv6 ze kazde zariadenie bude mat svoju jedninecnu ip adresu viditelnu z vonku a NAT nebude potrebny. Odpovedať Známka: -0.9 Hodnotiť:

Re: myslienka pekna Od: ...kho... | Pridané: 21.8.2013 8:28 Nikto netvrdil ze to oskenuje privatne ip za natom. Ma to oskenovat 32 bitovy ipv4 adressny priestor. Takze ho zauima iba ten nat. To ze je vonku 2x viac privatnych napr systemov bez verejnej ip nikoho netrapi pretoze o to tu ani nejde... Takze ono to "oskenuje" cely internet - viz.definicia internetu. Odpovedať Známka: 10.0 Hodnotiť:

Re: myslienka pekna Od: ...kho... | Pridané: 21.8.2013 8:33 A k timeoutu: mozem ti bez citania research peperu garantovat ze nejde sekvencne a necaka na respones bez toho aby nesiel dalej. Neviem kolko ram si vyzaduje odporucana zostava. Ale ked tam toho natlacis dost tak moze kludne na prve responses cakat aj 40 minut, kedze si target drzi v ram ktora nebude plna. Rozhadzuje siete a caka kto sa ozve.. Odpovedať Hodnotiť:

Re: myslienka pekna Od: ...kha... | Pridané: 21.8.2013 8:39 Cielom ipv6 nie je aby malo kazde zariadenie verejnu ip. Cielom je dost verejnych ip pre tych kto ich potrebuje. Netusim naco by bolo vacsine neserverovych systmov verejna ip. Verejna ip na domacom pc, mobile, konzole, chladnicke... Atd atd - by bolo obycajne bezpecnostne a nicim nepodlozene riziko. Vacsina ludi by mala a aj ostane za natom - neni lepsej ochrany pre bezneho usera ako je nat bez forwardingu Odpovedať Známka: 5.0 Hodnotiť:

2 min Od: castor | Pridané: 20.8.2013 12:48 bez porna za dve minúty... Odpovedať Známka: -1.1 Hodnotiť:

dig aaaa Od: ugluk | Pridané: 20.8.2013 13:14 Chlapci moji, takto to dalej nepojde: $ dig AAAA dsl.sk ; <<>> DiG 9.8.1-P1 <<>> AAAA dsl.sk ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46760 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;dsl.sk. IN AAAA ;; Query time: 5 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Tue Aug 20 13:12:17 2013 ;; MSG SIZE rcvd: 24 Redakcia, planujete s tym nieco robit???? Odpovedať Známka: 5.0 Hodnotiť:

Re: dig aaaa Od: jozkooo | Pridané: 20.8.2013 13:18 mozes vysvetlit? nerozumiem co je toto Odpovedať Známka: 6.2 Hodnotiť:

Re: dig aaaa Od: sensei-san | Pridané: 20.8.2013 13:43 To po našom hovorí, že dsl.sk nemá IPv6 adresu. Odpovedať Známka: 10.0 Hodnotiť:

Re: dig aaaa Od: jozkooo | Pridané: 20.8.2013 13:47 a naco je im ked maju uz ipv4? Odpovedať Známka: -6.7 Hodnotiť:

Re: dig aaaa Od: ergqerg | Pridané: 20.8.2013 13:43 man dig Odpovedať Známka: 6.0 Hodnotiť:

Re: dig aaaa Od reg.: Born To Be Wild | Pridané: 20.8.2013 14:11 Mňa napríklad dojal konzolový manuál na manuál "man man" :D Odpovedať Známka: 10.0 Hodnotiť:

Re: dig aaaa Od: jozkooo | Pridané: 20.8.2013 14:37 a je ze spomina mandinga :D Odpovedať Známka: 6.7 Hodnotiť:

Re: dig aaaa Od: Šenkár Výčapník | Pridané: 20.8.2013 14:45 TRAPAK. koho tu chces ohurovat? Milujem ked sa nejaky curamet hra na geeka. Odpovedať Známka: -4.1 Hodnotiť:

Re: dig aaaa Od: fvbhcvhg | Pridané: 20.8.2013 16:21 Ja by som vsetkych tych hekerov zakazal Odpovedať Známka: 8.3 Hodnotiť:

Re: dig aaaa Od: boborght | Pridané: 21.8.2013 8:15 nie je nic lepsie nez luzer, co nepozna zakladne prikazy :( Odpovedať Hodnotiť:

Re: dig aaaa Od: akoze | Pridané: 22.8.2013 10:20 zakladne prikazy ? umy riad, povysavaj, vynes smetie, navar veceru. Odpovedať Známka: 3.3 Hodnotiť:

zmap.nsa.gov Od: .em | Pridané: 20.8.2013 17:34 super, uz len tu gigabitovu linku teda... snad nebude padat jak telekom pod nmapom... mne sa paci aj tato moznost >> internetcensus2012.bitbucket.org Odpovedať Hodnotiť:

opravte ma niekto Od: sensei-san | Pridané: 20.8.2013 21:31 ICMP ping paket má u mňa 96 bajtov. Ak ho chcem poslať na 2^32 adries, tak je to 96*2^32 bajtov čo je 96*2^32/2^30 GB čo je 384GB. Ak by aj toho paketu vyhodili 48 bajtov dát, tak sa dostaneme na 192GB. Za 44 minút. To mi vychádza na približne 600 Mbps. Odpovedať Známka: 10.0 Hodnotiť:

Re: opravte ma niekto Od: :-) | Pridané: 20.8.2013 22:09 Si to cekoval cez nieco? Klasicky aj s crc aj payloadom by mal mat 74 Odpovedať Hodnotiť:

kvety Od: lololololol | Pridané: 21.8.2013 8:19 cely internet za 44 minut, cely internet bez porna 0,44 sekundy Odpovedať Známka: 10.0 Hodnotiť:

Nezmysel! Od: MuadDib | Pridané: 8.9.2013 8:49 Samozrejme, že je to nezmysel. Určite tým neoskenujú celý internet, v skutočnosti iba malú časť z neho, iba verejne dostupné adresy. Ale to ani zďaleka nie je celý internet. Tvrdiť, že áno, je ako tvrdiť, že som si prezrel celé mesto, keď som sa len prešiel po hlavných uliciach... Odpovedať Hodnotiť:

Pridať komentár