image

Man scant hele internet met illegaal botnet

woensdag 20 maart 2013, 12:00 door Redactie, 11 reacties

Een onderzoeker heeft met een illegaal gemaakt botnet van 420.000 computers het hele internet gescand. Het ging voornamelijk om ingebedde apparaten die op Linux draaiden en niet of over een wachtwoord beschikten of een zwak wachtwoord gebruikten. Deze apparaten werden als gedistribueerde portscanner gebruikt om alle IPv4-adressen op het internet te scannen.

De scans keken naar de meest gebruikte poorten, ICMP ping, reverse DNS en SYN scans. De gegevens werden vervolgens geanalyseerd om een schatting van het aantal gebruikte IP-adressen te maken.

Wachtwoord
De onderzoeker zegt dat hij twee jaar geleden met de Nmap Scripting Engine (NSE) aan het spelen was, toen hij op willekeurige IP-adressen met telnet verbinding probeerde te maken. Oorspronkelijk was het alleen als grap bedoeld om met de klassieke telnet inloggegevens 'root:root' in te loggen, maar al gauw werd duidelijk dat er duizenden apparaten op het internet zijn aangesloten die op deze manier toegankelijk zijn.

Na een scan van honderdduizend IP-adressen besefte de onderzoeker dat het aantal kwetsbare apparaten zeker honderdduizend moest zijn. Vervolgens werd besloten om op de kwetsbare apparaten een bestand te plaatsen dat IPv4-adressen scande en naar andere kwetsbare machines zocht om te 'infecteren'.

Om de werking van de apparaten niet te verstoren werd er een 'watchdog' ingesteld met de laagst mogelijke systeemrechten. Daarnaast was het bestand zo geprogrammeerd om na een paar dagen te stoppen en zichzelf te verwijderen. Ook een herstart van de machine zorgde ervoor dat het bestand verdween.

Om beheerders te informeren werd er een bestand met informatie over het project en een e-mailadres achtergelaten. Volgens de onderzoeker bleek de oorspronkelijke aanname te kloppen, aangezien er 420.000 apparaten werden gevonden die als gedistribueerde poortscanner waren in te zetten. De 'besmette machines' werden tot het 'Carna botnet' omgedoopt.

Omvang
In totaal reageerden 420 miljoen IP-adressen op de ICMP ping requests. Bij 165 miljoen IP-adressen stonden één of meer van de Top 150 poorten open. Van deze IP-adressen reageerden er 36 miljoen niet op de ICMP ping. Op de vraag hoe groot het internet is stelt de onderzoeker dat er zeker 450 miljoen IP-adressen vanaf het internet bereikbaar en in gebruik waren.

141 miljoen IP-adressen werden gefirewalled, dus die zouden mogelijk ook in gebruik zijn. Bij elkaar opgeteld komt dit op 591 miljoen IP-adressen uit. Bij 729 miljoen IP-adressen waren alleen de reverse DNS records ingesteld. Als die ook zou worden meegeteld, gaat het in totaal om 1,3 miljard IP-adressen. De overige 2,3 miljard IP-adressen die werden gescand vertoonden geen teken van 'leven'.

Alle gegevens zijn in de Internet Census 2012 verzameld en zijn ook als download van 586GB te downloaden.


Met dank aan Rick voor de tip

Reacties (11)
20-03-2013, 12:50 door RickDeckardt
yo
20-03-2013, 12:52 door RickDeckardt
ipv4 op? I don't think so....
20-03-2013, 13:17 door Anoniem
Door RickDeckardt: ipv4 op? I don't think so....
Dat IP adressen niet berijkbaar zijn betekent niet dat deze vrij zijn.
Het kan gaan om apparaten welke uit staan of IP reeksen welke gereserveerd zijn.
20-03-2013, 13:23 door Anoniem
Wat stelt het plaatje voor?
20-03-2013, 13:40 door AcidBurn
Die gast moet zich wel echter dodelijk verveeld hebben
20-03-2013, 14:07 door KwukDuck
Door RickDeckardt: ipv4 op? I don't think so....
Je moet toch iets verzinnen om je shit duur te kunnen verkopen :p
20-03-2013, 14:15 door S.lenders
Dat een ip niet reageert betekend niet dat hij niet is uitgegeven. Reactie van een firewall kan op 2 manieren, Reject en Drop
Bij reject stuurt de machine een access denied terug. Bij een drop doet hij niets en dan is het net of de bak er niet is.
20-03-2013, 14:54 door SirDice
Man scant hele internet met illegaal botnet
Illegaal botnet? Is dat niet net zo iets als witte sneeuw en een oude bejaarde?
20-03-2013, 16:01 door Anoniem
Door SirDice:
Man scant hele internet met illegaal botnet
Illegaal botnet? Is dat niet net zo iets als witte sneeuw en een oude bejaarde?

Hahaha, dat was ook mijn eerste reactie maar nader onderzoek leert dat botnets ook legaal kunnen zijn :)
20-03-2013, 17:50 door Anoniem
Ik vind vooral dat plaatje ook heel verhelderend
20-03-2013, 20:29 door Anoniem
IPv6 is dus nog 1 miljard IP-adressen verwijderd..... ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.