欢迎ZMAP,“一小时的周转”网络扫描仪

你有没有见过真正的城市地区的早期的照片吗?

他们似乎从来没有任何活动的迹象:没有马,没有车,没有人在繁忙的街道上。

原因是不是摄影是如此昂贵的新奇,街道被关闭,收拾最好看的图片。

这是因为这么久,没有人是还是足以影响图像的曝光时间,所以只有建筑坚固的城市景观,被记录下来。

(已知最早的一个人的照片被说成是男人在上面的图片中,显然已经停止一个擦皮鞋的一段时间在1838年4月或5月在巴黎街头的左下方)。

我们已经有过类似的问题,采取可靠的快照的互联网,因为这样做的网络扫描整个事情通常采取数周或数月才能完成。

如果有一个服务器抛出IP 198.51.100.42网页,当你开始你的扫描,谁又能说,它依然存在,当你完成呢?

如果的网络203.0.113.0/24似乎完全冷清,当你经过的时候,谁又能说没有突然冲进生活,一旦你移动到下一网络块?

输入ZMAP ,在最近举行的USENIX会议提出的一个开放源码的网络扫描仪。

你可能听说过,这是我们很喜欢裸体安全(费奥多尔,它的创造者,是我们的T恤的所有者),如果你有,你可能会问,为什么我们还需要另一种网络映射工具Nmap的

答案是ZMAP的目的并不是要竞争或取代现有的,通用的,如Nmap的映射器,这是极好的深度扫描子网。

始建明确ZMAP(双关语意)浅扫描 – 通常一个端口或服务 – 整个互联网,或者至少是IPv4的互联网,从单一的专用计算机,在一个小时内。

如果你所做的任何网络扫描,这可能听起来像一个悍然无法实现的目标,尤其是当以前的网络扫描项目都需要几个星期甚至几个月的时间实现了类似的结果。

ZMAP,所有帐户,这样做,多亏了一些新的招数。

一开始,你怎么进行迅速且系统?

如果你走在数字地址序列,就像一个谷歌街景车,因为它不能在委内瑞拉的加拉加斯14:00,在布里斯班,昆士兰州在14:01,将整个子网,你只能继续缓慢,因为目标网络是缓慢的。

您的探测数据包 – 即使你只发送一个以太网帧,每个探头 – 进入目标网络的速度要慢得多,比你能送出去,所以你会在收到您的回复相对缓慢。

其结果也可能是非常反社会的探测网络,有效地产生拒绝服务,或拒绝服务。

ZMAP解决了这个问题,通过使用被称为循环乘法群

每次扫描之前,软件自带了一个伪随机顺序从1到2 32 – 1(所有可能的32位数字为零除外)各一次,访问每个整数迭代公式。

虽然每个连续探头遵循严格的算法序列,IP号码反弹,整个IPv4地址空间。

作为一个结果,你没有得到数百或上千的探针同时会聚在一个子网。

当你循环回来的第一个IP号码参观,通过互联网,你完成随机的旅程,但在任何一个环节没有群聚流量。

使用其他招ZMAP是为了避免担心一个计算机科学家保持通话状态

保持它发送的探头,一个巨大的名单和时间,他们一直在那里,多少时间越长,它应该为每一个等待,并刻意更新列表中的每一个认可的响应,而是ZMAP只是让通过其循环乘法翻录组。

它有一个软件组件喷出来回探测报文,使用原始网络端口,以避免任何在内核的TCP软件栈的开销,以及另一种收集和保存的任何答复。

随着一个出境1Gbit/sec连接,绕过TCP协议栈,一台电脑可以只是填补了管道,成功地生产了超过1亿探测数据包每秒。

最多使用32理论的IPv4地址,和3600秒在一个小时约3.7亿美元的可用地址,ZMAP真的可以抓取整个表面星球互联网下一个小时,而不需要任何特殊的网络驱动器。

由于循环随机移动通过IPv4空间,1 Gbit / sec的探测交通是一个平均主义的方式,通过互联网传播,所以没有被哽咽起来。

答复要么回来,并明确记录为成功,或者不回来,隐式登录失败。

结果 – 对我来说,在任何速度 – 是相当惊人的:它只是工作!

至于你为什么会想这样做,你可能会学到什么,我建议你检查的ZMAP纸 ,其中有一些有趣的图形,如HTTPS采用率测量的东西(见上文);流行的越野车在路由器的UPnP实现;弱加密密钥的数量从2008年Debian的随机性错误仍然在流通。

ZMAP的速度可以“一圈”的互联网,当然,这些数字可以定期跟踪,并迅速,从而使他们的变化率来衡量。

这是永远不可能的,因为每个“圈”通常需要足够长的时间,显着的变化发生在扫描是在进步,从而使得其业绩很大程度上是无用的。

只有一个巨大的问题依然存在。

无论IPv6的接管时,我们该怎么办?