Een onderzoeker heeft met een illegaal gemaakt botnet van 420.000 computers het hele internet gescand. Het ging voornamelijk om ingebedde apparaten die op Linux draaiden en niet of over een wachtwoord beschikten of een zwak wachtwoord gebruikten. Deze apparaten werden als gedistribueerde portscanner gebruikt om alle IPv4-adressen op het internet te scannen.

De scans keken naar de meest gebruikte poorten, ICMP ping, reverse DNS en SYN scans. De gegevens werden vervolgens geanalyseerd om een schatting van het aantal gebruikte IP-adressen te maken.

Wachtwoord
De onderzoeker zegt dat hij twee jaar geleden met de Nmap Scripting Engine (NSE) aan het spelen was, toen hij op willekeurige IP-adressen met telnet verbinding probeerde te maken. Oorspronkelijk was het alleen als grap bedoeld om met de klassieke telnet inloggegevens 'root:root' in te loggen, maar al gauw werd duidelijk dat er duizenden apparaten op het internet zijn aangesloten die op deze manier toegankelijk zijn.

Na een scan van honderdduizend IP-adressen besefte de onderzoeker dat het aantal kwetsbare apparaten zeker honderdduizend moest zijn. Vervolgens werd besloten om op de kwetsbare apparaten een bestand te plaatsen dat IPv4-adressen scande en naar andere kwetsbare machines zocht om te 'infecteren'.

Om de werking van de apparaten niet te verstoren werd er een 'watchdog' ingesteld met de laagst mogelijke systeemrechten. Daarnaast was het bestand zo geprogrammeerd om na een paar dagen te stoppen en zichzelf te verwijderen. Ook een herstart van de machine zorgde ervoor dat het bestand verdween.

Om beheerders te informeren werd er een bestand met informatie over het project en een e-mailadres achtergelaten. Volgens de onderzoeker bleek de oorspronkelijke aanname te kloppen, aangezien er 420.000 apparaten werden gevonden die als gedistribueerde poortscanner waren in te zetten. De 'besmette machines' werden tot het 'Carna botnet' omgedoopt.

Omvang
In totaal reageerden 420 miljoen IP-adressen op de ICMP ping requests. Bij 165 miljoen IP-adressen stonden één of meer van de Top 150 poorten open. Van deze IP-adressen reageerden er 36 miljoen niet op de ICMP ping. Op de vraag hoe groot het internet is stelt de onderzoeker dat er zeker 450 miljoen IP-adressen vanaf het internet bereikbaar en in gebruik waren.

141 miljoen IP-adressen werden gefirewalled, dus die zouden mogelijk ook in gebruik zijn. Bij elkaar opgeteld komt dit op 591 miljoen IP-adressen uit. Bij 729 miljoen IP-adressen waren alleen de reverse DNS records ingesteld. Als die ook zou worden meegeteld, gaat het in totaal om 1,3 miljard IP-adressen. De overige 2,3 miljard IP-adressen die werden gescand vertoonden geen teken van 'leven'.

Alle gegevens zijn in de Internet Census 2012 verzameld en zijn ook als download van 586GB te downloaden.

Met dank aan Rick voor de tip