1. Уважаемые гости и пользователи форума.
    Администрация настоятельно рекомендует не регистрировать несколько аккаунтов для одного пользователя. При выявлении наличия мультиаккаунтов будут заблокированы все учетные записи данного пользователя.
    Аккаунты, зарегистрированные на временную почту будут также заблокированы.

Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов

Тема в разделе "Новости", создана пользователем STALKER, 21 мар 2013.

  1. Ветеран Модератор

    Регистрация:
    23 дек 2011
    Сообщения:
    602
    Симпатии:
    738
    Пол:
    Мужской
    [​IMG]

    Подведены итоги амбициозного проекта Internet Census 2012, нацеленного на полное сканирование портов для всех IPv4-адресов в сети Интернет. Сканирование осуществлялось с марта по декабрь 2012 года с использование ботнета, построенного на базе незащищённых маршрутизаторов. В результате удалось собрать самую полную в истории статистику по активности хостов и распределению сетевых портов в сети Интернет.

    Для загрузки доступен полный архив со всеми собранными данными (565 Гб при использовании сжатия ZPAQ, архив gzip занимает 1.5 Тб), подборка отчётов с общей статистикой по распределению сервисов и набор изображений с наглядным представлением распределения адресов по странам и подсетям. Особенно интересна визуализация изменения доступности IP в зависимости от времени суток и интерактивная карта, позволяющая использовать типовые фильтры и допускающая масштабирования для увеличения детализации вплоть до выделенных провайдерам подсетей.

    Предпосылкой к проведению полного сканирования всего диапазона IPv4-адресов послужили ранее проводимые эксперименты по автоматизации сканирования портов с использование пакета Nmap и доступного в нём движка NSE (Nmap Scripting Engine), позволяющего автоматизировать выполнение любых действий по сканированию и накоплению результатов. В итоге ранних экспериментов было выявлено, что Сеть просто изобилует незащищёнными встраиваемыми устройствами, многие из которых оснащены стандартным Linux-окружением с BusyBox и открыты для доступа под заданным производителем паролем или вообще не защищены (пустой или тривиальный пароль, вида root:root и admin:admin ).

    Всего было выявлено около 420 тысяч подобных незащищённый устройств, на основе которых был создан ботнет, выполнявший в течение 10 месяцев задачи по распределённому сканированию сетевых портов. Так как для реализации проекта использовались незаконные методы, исследователи не раскрывают своих имён и действуют анонимно. Тем не менее, заявлено, что в процессе эксперимента ни одно из взломанных устройств не пострадало (конфигурация не была изменена, промышленные системы и маршрутизаторы провайдеров пропускались), влияние сканирования был сведено к минимуму (использовалась низкая интенсивность сканирования - 10 IP в секунду), а ботнет после завершения сканирования был ликвидирован. Вместе с загружаемым на устройство файлом, выполняющим сканирование, поставлялся текстовый файл с описанием сути проекта и email для связи.

    В число выполняемых для каждого IP-адреса проверок входила оценка доступности наиболее часто используемых портов, ICMP ping, запрос DNS-записи для IP и SYN-сканирование. Сканирование проводилось в дублирующем режиме, для накопления статистики с разрезе времени и учёта систем, включаемых лишь на время. В итоге было накоплено около 9 Тб данных, включающих информацию о 52 миллиардах проверок через ICMP ping; 10.5 миллиарда DNS-записей; 180 миллиардов записей о сетевых портах; 2.8 миллиарда параметров SYN-сканирования для 660 млн IP и 71 миллиарда протестированных сетевых портов; 80 млн проверок слепков TCP/IP; 75 млн IP ID-последовательностей; 68 млн трассировок маршрута (traceroute).

    Некоторая статистика:

    • Были получены ping-ответы от 420 млн IP-адресов, плюс дополнительно 39 млн адресов отвечали по типовым портам, но были недоступны через ping. 141 млн хостов были прикрыты межсетевыми экранами и потенциально являются активными; ещё 729 млн IP, не фигурирующих в вышеотмеченных списках, имеют обратную запись в DNS. В итоге, общий размер активных адресов оценивается примерно в 1.3 миллиарда. Для 2.3 миллиарда адресов следов использования не обнаружено;
    • 165 млн IP имеют один или более открытых портов из списка 150 наиболее часто используемых портов;

    • 141 млн IP имеют только закрытые или сбрасываемые порты и не отвечают на ping, т.е. вероятно используются, но защищены из вне межсетевым экраном;

    • 1051 млн IP имеют обратную запись в DNS из них 729 млн не реагируют на проверки;

    • 30 тысяч подсетей /16 содержат адреса отвечающие на ping, 14 тысяч подсетей /16 включают в себя 90% из всех отвечающих на ping адресов;

    • 4.3 млн подсетей /24 содержат 420 млн отвечающих на ping адресов;

    • 70.84 млн адресов отвечают по 80 TCP-порту, на 20% из низ удалось определить http-сервер Apache, 18.5% - Allegro RomPager, 12.5% - тип сервера не определён, 8.57% - Microsoft IIS, 5.7% - AkamaiGHost, 5.7% - nginx, 2.8% - micro_httpd;

    • На 244 тысячах IP удалось определить наличие сетевого принтера;

    • 4.16 млн IP отвечают по SSH, 34.38 млн - telnet, 4.11 млн - upnp, 6.7 млн - Windows RPC, 6.18 млн - imap, 5.9 млн - pop3, 13.57 млн - smtp, 15 млн - DNS, 27.26 млн - snmp.
     
    Последнее редактирование: 21 мар 2013
    ACtivity, ajiger и GVS276 нравится это.

Поделиться этой страницей