image

Onderzoekers scannen gehele internet in 44 minuten

dinsdag 20 augustus 2013, 12:14 door Redactie, 5 reacties

Onderzoekers hebben een netwerktool ontwikkeld waarmee het mogelijk is om het gehele internet in 44 minuten te scannen, waarbij de theoretische limiet van gigabit ethernet wordt bereikt. Voorheen duurde het twee tot drie maanden om alle IPv4-adressen op internet te scannen. Tijdens de afgelopen USENIX Conferentie in Washington demonstreerden onderzoekers van de Universiteit van Michigan ZMap.

ZMap is een open-source netwerkscanner waarmee onderzoekers eenvoudig internetbrede netwerkonderzoeken kunnen uitvoeren. Slechts een enkele machine met een snelle internetverbinding volstaat om heel het IPv4-internet binnen 45 minuten te scannen. De tool is vooral bedoeld om de adoptie van bepaalde protocollen te meten, de beschikbaarheid van diensten te monitoren en grootschalige gedistribueerde systemen op internet beter te begrijpen.

Het internetbreed scannen van netwerken heeft verschillende security toepassingen, zoals het openbaren van nieuwe beveiligingslekken en het meten van de uitrol van verdedigingsmechanismen, zoals HTTPS. "Het probleem met het scannen van de gehele publieke adresruimte met bestaande tools is dat dit zowel lastig als traag is", aldus de onderzoekers in hun paper.

Onderzoek

ZMap is "stateless", wat betekent dat het een verzoek verstuurt en daarna vergeet. Voorheen werden deze openstaande verzoeken bijgehouden, wat het scanproces vertraagde. Het programma encodeert de identificerende informatie in uitgaande pakketten, zodat het de antwoorden kan identificeren.

Door deze lagere overhead kan ZMap pakketten duizend keer sneller versturen dan met netwerkscanner Nmap het geval is. De onderzoekers gebruikten ZMap om het HTTPS-gebruik van de 1 miljoen populairste websites te meten. Daaruit bleek dat het gebruik met 23% was toegenomen. Over de gehele linie groeide het gebruik van HTTPS met bijna 20%.

Periode

De onderzoekers stellen dat we in een unieke periode in de geschiedenis van internet leven, aangezien standaard kantoornetwerken snel genoeg worden om uitgebreid de IPv4-adresruimte te scannen, terwijl IPv6 met z'n veel grotere adresruimte nog niet wijdverspreid is. "Om onderzoekers te helpen hiervan te profiteren hebben we ZMap ontwikkeld", aldus de onderzoekers.

Ze waarschuwen ook voor de nieuwe aanvalsvectoren die deze snelle internetscans met zich meebrengen. Het gaat dan om het ontdekken van verborgen services, de mogelijkheid om gebruikers tussen IP-adressen te volgen en het risico om kwetsbare hosts in slechts een paar minuten na de ontdekking van een lek te infecteren.

Image

Update: tekstfout verholpen

Reacties (5)
20-08-2013, 16:42 door Anoniem
Dit soort methoden kan voor enorme overlast zorgen.
Ik ken bijvoorbeeld een /8 netwerk wat in zijn geheel gerouteerd is via 1 PC ergens in een datacenter van een universiteit.
Als je parallel een request stuurt naar alle 16 miljoen adressen in dat netwerk dan bezorg je die universiteit daarmee
een enorme loadspike, en die PC zal het ook niet leuk vinden.
Op IPv6 is het nog erger! Met een dergelijk systeem breng je in no-time een heel netwerk down.

Niet zo leuk dus om op die manier te "onderzoeken" (anderen zouden het een DOS noemen en de veroorzakers de
gevangenis in willen hebben)
20-08-2013, 17:54 door vimes
Door Anoniem:
Op IPv6 is het nog erger! Met een dergelijk systeem breng je in no-time een heel netwerk down.
Leg eens uit want dat vind ik wel vreemd.
20-08-2013, 21:48 door Anoniem
Door vimes:
Door Anoniem:
Op IPv6 is het nog erger! Met een dergelijk systeem breng je in no-time een heel netwerk down.
Leg eens uit want dat vind ik wel vreemd.
Het is ook vreemd. Men is gewoon iets vergeten toen men zo gigantisch grote netwerken maakte.
Tegenwoordig zie je vaak het advies om je subnetten niet groter te maken dan nodig, maar er zijn er nog
zat die hun netwerk een /64 geven.
Dan blaas je een router zo omver vanaf een dialup lijntje... (NDP Exhaustion)
21-08-2013, 10:55 door Anoniem
Um, /64 voor IPv6 is het kleinste subnet dat geroute kan worden. Het kan dus niet anders
22-08-2013, 11:31 door Anoniem
Door Anoniem: Um, /64 voor IPv6 is het kleinste subnet dat geroute kan worden. Het kan dus niet anders
Toch is het beter om een /120 ofzo te configureren in je router.
Zie bijvoorbeeld: http://inconcepts.biz/~jsw/IPv6_NDP_Exhaustion.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.