Expert kan gehele internet binnen 3 minuten scannen
Een Amerikaanse beveiligingsexpert heeft een programma geschreven waarmee het mogelijk is om het gehele internet binnen 3 minuten te scannen. De Masscan poortscanner is ontwikkeld door Robert Graham van Errata Security en kan 25 miljoen pakketjes per seconde verwerken.
Daarmee is de tool tien keer sneller dan de concurrentie. In augustus demonstreerden onderzoekers nog de Zmap-tool. Via dit programma duurt een volledige internetscan 44 minuten, wat al veel sneller was dan de vorige pogingen, die twee tot drie maanden in beslag namen. Via internetscans zijn bijvoorbeeld kwetsbare systemen te ontdekken of bijvoorbeeld het gebruik van bepaalde protocollen te meten, zoals HTTPS.
Een doorsnee quad-core desktopprocessor is voldoende om met Masscan het internet te scannen. Het enige opmerkelijke aan het systeem dat Graham gebruikte zijn de twee 10 Gbps ethernetpoorten. De meeste computers beschikken over slechts één 1 Gbps ethernetpoort.
Snelheid
10 Gbps ethernet hardware ondersteunt 15 miljoen pakketjes per seconde. Met twee van dit soort netwerkaansluitingen kunnen in theorie 30 miljoen pakketjes per seconde worden gehaald. Graham stelt dat zijn software nog niet is geoptimaliseerd, waardoor hij op de 25 miljoen pakketjes blijft steken. Deze snelheid kan trouwens alleen op Linux worden bereikt. De andere systemen komen niet verder dan 300.000 pakketjes per seconde.
Een ander probleem waar Graham mee te maken kreeg is zijn internetprovider. Die staat maximaal 100.000 pakketjes per seconde toe, wat neerkomt op 44 Mbps. De beveiligingsexpert zoekt dan ook iemand die wel over een snelle internetverbinding beschikt om zijn tool met de maximale snelheid te testen.
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...
Meer dan 4.500.000.000 (1 pakketje per IP adres x3 x60)?
Is die scan dan zonder filters (anders is dat nog maal 65535 poorten aan scan info & tijd)?
Hoe groot wordt dan je file en is dat nog te openen en te bewerken op een 'doorsnee desktop' (dat zal wat werkgeheugen vragen)?
Domme vraag misschien (slim antwoord welkom), als er een Darknet bestaat dat vele malen groter is dan het gewone internet, wordt (of is) dat dan mee-gescand of maakt dat niet uit voor het aantal ip-adressen en de scan duur?
Ik krijg in ieder geval de indruk dat het verstandig is om maar eens je ongebruikte open poorten in kaart te brengen en dicht te timmeren wanneer dit soort scan tools kunnen draaien van 'doorsnee' desktops.
Want hier zijn malware makers of hackers vast blij mee, kunnen ze directe aanvallen gaan uitvoeren per geselecteerde poort, of range?
T.o.v., een overzichtje van malware en gebruikte poorten
www.emsisoft.com/en/kb/portlist/
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...
Maak je niet druk joh,
a. wie heeft er een uplink van 2x10Gb
b. een gemiddelde firewall dropt na detectie alle verkeer van zijn adres/subnet.
fijne dag,
Hans
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...
Meer dan 4.500.000.000 (1 pakketje per IP adres x3 x60)?
Is die scan dan zonder filters (anders is dat nog maal 65535 poorten aan scan info & tijd)?
Domme vraag misschien (slim antwoord welkom), als er een Darknet bestaat dat vele malen groter is dan het gewone internet, wordt (of is) dat dan mee-gescand of maakt dat niet uit voor het aantal ip-adressen en de scan duur?
Darknet zijn websites die niet worden geindexeerd door zoekpagina's. Deze hebben dus gewoon een IP adres en worden ook gescant.
Ik krijg in ieder geval de indruk dat het verstandig is om maar eens je ongebruikte open poorten in kaart te brengen en dicht te timmeren wanneer dit soort scan tools kunnen draaien van 'doorsnee' desktops.
Want hier zijn malware makers of hackers vast blij mee, kunnen ze directe aanvallen gaan uitvoeren per geselecteerde poort, of range?
Hackers hebben zulke tools al. Sterker nog, er is zelfs al een zoekmachine hiervoor (alhoewel, deze is nu offline zo te zien) http://www.shodanhq.com/
Dit is sabotage en brengt op vele plaatsen de infrastructuur in de problemen.
Dat mogen we toch niet tolereren...
Je kent toch niet de capaciteit van de verbindingen naar alle subnetten?
Ik ken zelf toevallig een /8 netwerk wat met maar 1 Gbps aan internet zit en dat is nog een capaciteit
die het niet 100% van de tijd mag gebruiken.
Dit soort idioten stuurt veelvouden van 16 miljoen pakketten binnen 3 minuten naar dat netwerk en
verzuipt het totaal.
Ook in kleinere netwerken die nog niet volledig bezet zijn met hosts veroorzaakt dit soort grappen een
enorme vloed aan ARP verkeer en resource gebruik in routers.
Zoals al iemand zei het is alleen IPv4 en dat is maar goed ook want IPv6 gaat volkomen op zijn bek als
je zo iets doet.
Ik vind dat het doen van dit soort dingen juridisch hard aangepakt moet worden.
Voor iemand me gaat vertellen "dit kan dus hier moet je maar tegen kunnen":
als je 5 gram kruit in een kartonnetje doet en je steekt het aan hoor je "knal" en is er niks aan de
hand. Doe je 5 kilo kruit in een metalen pan dan krijg je een enorme explosie en word je hard
aangepakt. En terecht. En zo zou het met deze meneer ook moeten gaan. Iets wat op kleine
schaal een leuk grapje is kan op grote schaal best een misdaad zijn.
Darknet zijn websites die niet worden geindexeerd door zoekpagina's. Deze hebben dus gewoon een IP adres en worden ook gescant.
Een nogal onvolledige definitie van het concept Darknet. Een Darknet is een netwerk van hosts die alleen met elkaar via een apart protocol communiceren en een eigen overlay netwerk creeren bovenop het "gewone" internet. Als je denkt dat je host op wat voor manier dan ook "dark" is omdat 'ie niet in google voorkomt, dan heb ik nog wel een brug voor je te koop.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
