image

Expert kan gehele internet binnen 3 minuten scannen

zondag 15 september 2013, 12:02 door Redactie, 8 reacties

Een Amerikaanse beveiligingsexpert heeft een programma geschreven waarmee het mogelijk is om het gehele internet binnen 3 minuten te scannen. De Masscan poortscanner is ontwikkeld door Robert Graham van Errata Security en kan 25 miljoen pakketjes per seconde verwerken.

Daarmee is de tool tien keer sneller dan de concurrentie. In augustus demonstreerden onderzoekers nog de Zmap-tool. Via dit programma duurt een volledige internetscan 44 minuten, wat al veel sneller was dan de vorige pogingen, die twee tot drie maanden in beslag namen. Via internetscans zijn bijvoorbeeld kwetsbare systemen te ontdekken of bijvoorbeeld het gebruik van bepaalde protocollen te meten, zoals HTTPS.

Een doorsnee quad-core desktopprocessor is voldoende om met Masscan het internet te scannen. Het enige opmerkelijke aan het systeem dat Graham gebruikte zijn de twee 10 Gbps ethernetpoorten. De meeste computers beschikken over slechts één 1 Gbps ethernetpoort.

Snelheid

10 Gbps ethernet hardware ondersteunt 15 miljoen pakketjes per seconde. Met twee van dit soort netwerkaansluitingen kunnen in theorie 30 miljoen pakketjes per seconde worden gehaald. Graham stelt dat zijn software nog niet is geoptimaliseerd, waardoor hij op de 25 miljoen pakketjes blijft steken. Deze snelheid kan trouwens alleen op Linux worden bereikt. De andere systemen komen niet verder dan 300.000 pakketjes per seconde.

Een ander probleem waar Graham mee te maken kreeg is zijn internetprovider. Die staat maximaal 100.000 pakketjes per seconde toe, wat neerkomt op 44 Mbps. De beveiligingsexpert zoekt dan ook iemand die wel over een snelle internetverbinding beschikt om zijn tool met de maximale snelheid te testen.

Image

Reacties (8)
15-09-2013, 12:18 door Anoniem
Ik hoop dat hij snel in de gevangenis zit.
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...
15-09-2013, 15:06 door Anoniem
Hoeveel ip adressen zijn er dan te scannen?
Meer dan 4.500.000.000 (1 pakketje per IP adres x3 x60)?
Is die scan dan zonder filters (anders is dat nog maal 65535 poorten aan scan info & tijd)?
Hoe groot wordt dan je file en is dat nog te openen en te bewerken op een 'doorsnee desktop' (dat zal wat werkgeheugen vragen)?
Domme vraag misschien (slim antwoord welkom), als er een Darknet bestaat dat vele malen groter is dan het gewone internet, wordt (of is) dat dan mee-gescand of maakt dat niet uit voor het aantal ip-adressen en de scan duur?

Ik krijg in ieder geval de indruk dat het verstandig is om maar eens je ongebruikte open poorten in kaart te brengen en dicht te timmeren wanneer dit soort scan tools kunnen draaien van 'doorsnee' desktops.
Want hier zijn malware makers of hackers vast blij mee, kunnen ze directe aanvallen gaan uitvoeren per geselecteerde poort, of range?

T.o.v., een overzichtje van malware en gebruikte poorten
www.emsisoft.com/en/kb/portlist/
15-09-2013, 19:56 door Anoniem
Erg indrukwekkend maar helaas niet het gehele internet wordt gescanned. Alleen de ipv4 ip adressen. In Azie zijn al vele websites die alleen via ipv6 te bezoeken zijn door de ipv4 adressen schaarste.
16-09-2013, 08:31 door Anoniem
Door Anoniem: Ik hoop dat hij snel in de gevangenis zit.
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...


Maak je niet druk joh,

a. wie heeft er een uplink van 2x10Gb
b. een gemiddelde firewall dropt na detectie alle verkeer van zijn adres/subnet.


fijne dag,

Hans
16-09-2013, 09:02 door Mysterio
Door Anoniem: Ik hoop dat hij snel in de gevangenis zit.
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...
Valt wel mee, als zijn verbinding het kan behappen, dan kan de rest het ook wel aan.
16-09-2013, 09:34 door [Account Verwijderd]
Door Anoniem: Hoeveel ip adressen zijn er dan te scannen?
Meer dan 4.500.000.000 (1 pakketje per IP adres x3 x60)?
Is die scan dan zonder filters (anders is dat nog maal 65535 poorten aan scan info & tijd)?
Lijkt me toch wel dat meest gebruikte poorten alleen gescant wordt (http/https/ssh etc)
Door Anoniem:
Domme vraag misschien (slim antwoord welkom), als er een Darknet bestaat dat vele malen groter is dan het gewone internet, wordt (of is) dat dan mee-gescand of maakt dat niet uit voor het aantal ip-adressen en de scan duur?
Maar wat is Darknet?
Darknet zijn websites die niet worden geindexeerd door zoekpagina's. Deze hebben dus gewoon een IP adres en worden ook gescant.
Door Anoniem:
Ik krijg in ieder geval de indruk dat het verstandig is om maar eens je ongebruikte open poorten in kaart te brengen en dicht te timmeren wanneer dit soort scan tools kunnen draaien van 'doorsnee' desktops.
Want hier zijn malware makers of hackers vast blij mee, kunnen ze directe aanvallen gaan uitvoeren per geselecteerde poort, of range?
Dat is sowieso het geval om alles dicht te timmeren. de doorsnee gebruiker hoeft niet eens portforwarding of iets dergelijk te hebben; voor browsen en mailen hoef je echt geen open poorten te hebben.
Hackers hebben zulke tools al. Sterker nog, er is zelfs al een zoekmachine hiervoor (alhoewel, deze is nu offline zo te zien) http://www.shodanhq.com/
16-09-2013, 10:11 door Anoniem
Door Mysterio:
Door Anoniem: Ik hoop dat hij snel in de gevangenis zit.
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...
Valt wel mee, als zijn verbinding het kan behappen, dan kan de rest het ook wel aan.
Hoe weet je dat nou?
Je kent toch niet de capaciteit van de verbindingen naar alle subnetten?
Ik ken zelf toevallig een /8 netwerk wat met maar 1 Gbps aan internet zit en dat is nog een capaciteit
die het niet 100% van de tijd mag gebruiken.
Dit soort idioten stuurt veelvouden van 16 miljoen pakketten binnen 3 minuten naar dat netwerk en
verzuipt het totaal.
Ook in kleinere netwerken die nog niet volledig bezet zijn met hosts veroorzaakt dit soort grappen een
enorme vloed aan ARP verkeer en resource gebruik in routers.

Zoals al iemand zei het is alleen IPv4 en dat is maar goed ook want IPv6 gaat volkomen op zijn bek als
je zo iets doet.

Ik vind dat het doen van dit soort dingen juridisch hard aangepakt moet worden.
Voor iemand me gaat vertellen "dit kan dus hier moet je maar tegen kunnen":
als je 5 gram kruit in een kartonnetje doet en je steekt het aan hoor je "knal" en is er niks aan de
hand. Doe je 5 kilo kruit in een metalen pan dan krijg je een enorme explosie en word je hard
aangepakt. En terecht. En zo zou het met deze meneer ook moeten gaan. Iets wat op kleine
schaal een leuk grapje is kan op grote schaal best een misdaad zijn.
16-09-2013, 13:35 door Anoniem
Maar wat is Darknet?
Darknet zijn websites die niet worden geindexeerd door zoekpagina's. Deze hebben dus gewoon een IP adres en worden ook gescant.

Een nogal onvolledige definitie van het concept Darknet. Een Darknet is een netwerk van hosts die alleen met elkaar via een apart protocol communiceren en een eigen overlay netwerk creeren bovenop het "gewone" internet. Als je denkt dat je host op wat voor manier dan ook "dark" is omdat 'ie niet in google voorkomt, dan heb ik nog wel een brug voor je te koop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.