Полное сканирование /0

    На сайте Internet Census 2012 internetcensus2012.bitbucket.org опубликованы результаты сканирования всех существующих IPv4 адресов. Сканирование такого масштаба удалось осуществить благодаря ботнету из 420 тысяч незащищенных устройств.



    Идея подобного сканирования пришла автору два года назад, когда он используя Nmap Scripting Engine решил попробовать авторизоваться по случайным IP-адресам со стандартными парами логин: пароль(root:root) по протоколу telnet, при этом обнаружилось достаточное количество устройств где авторизация была успешной. Тогда был создан червь, который сканировал определенный диапазон адресов и при обнаружении незащищенного устройства, копировал себя туда. Новая копия начинала сканировать свой диапазон и так в геометрической прогрессии. Таким образом сформировался достаточно большой распределенный ботнет названный Carna.

    За десять месяцев 2012 года были просканированы все IP-адреса в адресном пространстве IPv4, сканирование проводилось следующими методами: рассылка сервисных пакетов на все популярные номера портов, пинг, обратный запрос DNS и запрос SYN.

    В результате сканирования получилась база обьемом 9 терабайт, после архивирования, с помощью ZPAQ, обьем стал равен 568 гигабайтам и все это доступно для сканчивания тут internetcensus2012.bitbucket.org/download.html

    Всего в базе насчитывается:

    -52 млрд ICMP-пингов
    -80 млн отпечатков TCP/IP
    -10,5 млрд ответов на обратный запрос DNS
    -180 млрд сканов на сервисные порты
    -68 млн записей traceroute
    -2,8 млрд ответов на SYN-запрос для 660 млн IP-адресов и 71 млрд протестированных портов

    Автор надеется, что исследователи смогут извлечь пользу из собранных данных.
    Поделиться публикацией

    Похожие публикации

    Комментарии 55

      +7
      Это что, десять месяцев этот червь был в свободном плавании и нигде не засветился?
        –8
        Я думаю что главная причина того что он не засветился была в том что он не подавал вообще никаких признаков вируса кроме самораспространения. Да и
        пароль(root:root) по протоколу telnet

        говорят о том что это наверняка linux-only червь где антивирусы не особо популярны, а надежно спрятаться не составляет большого труда при определенных навыках автора.
          +18
          Во-первых, это в каком дистрибутиве по умолчанию включен telnet, а, во-вторых, установлен пароль для root?
            +5
            А вы оригинальную статью прочитайте
            The first one is a telnet scanner which tries a few different login combinations, e.g. root:root, admin:admin and both without passwords.

            We used a strict set of rules to identify the target devices' CPU and RAM to ensure our binary was only deployed to systems where it was known to work. We also excluded all smaller groups of devices since we did not want to interfere with industrial controls or mission critical hardware in any way. Our binary ran on approximately 420 thousand devices. These are only about 25 percent of all unprotected devices found. There are hundreds of thousands of devices that do not have a real shell so we could not upload or run a binary, a hundred thousand mips4kce machines that are mostly too small and not capable enough for our purposes as well as many unidentifiable configuration interfaces for random hardware. We were able to use ifconfig to get the MAC address on most devices. We collected these MAC addresses for some time and identified about 1.2 million unique unprotected devices. This number does not include devices that do not have ifconfig.

            The binary on the router was written in plain C. It was compiled for 9 different architectures using the OpenWRT Buildroot. In its latest and largest version this binary was between 46 and 60 kb in size depending on the target architecture.


            Обыкновенные домашние роутеры и сервера школьника васи пупкина подходят как нельзя кстати под этот метод. Это как пример.
              0
              Да, прочитал уже. OpenWRT аттаковали.
                +1
                OpenWRT аттаковали.
                Эмм. С чего вы взяли? Там написано, что при помочи тулчайна от openwrt собирали бинарники для разных архитектур, не более
                  0
                  А на чём запускались эти бинарники?
                    +1
                    Не обязательно на openwrt
            • НЛО прилетело и опубликовало эту надпись здесь
          +4
          Интересно существуют ли торрент-раздачи большего объема?
            +6
            Geocities_-_The_Torrent имеет размер 641 ГБ (Info Hash: DECB3F33CEA4386D5E030A57ACD71ADB26542024 или 2DC18F47AFEE0307E138DAB3015EE7E5154766F6); информация о релизе — ascii.textfiles.com/archives/2720
            +16
            Да, существуют. Это — наиболее полный архив композиций из саундтрека к играм серии «Тохо проджект» и его любительских ремиксов и кавер-версий, кодированный в лосслесс-формате. Размер торрента составляет почти 1,3 тебибайта. Нашлось как минимум 2274 человек, которые выкачали его полностью.
              +2
              Полностью выкачали не значит полностью сохранили.
                +3
                Вряд ли полностью.
                Я снял галочки со всех папок, и отметив один файл, скачал его — и кажется меня засчитали
                  +1
                  А музыка действительно хорошая.
                +12
                Отличные обои получились.
                  –1
                  Нескучные?)
                  +5
                  Слегка облегчили работу вирусописателям. Им теперь можно прямо из базы брать айпи с открытыми сервисными портами. Какая-никакая, а экономия времени на сканирование…
                    0
                    Ага, теперь вирусописатели будут использовать ботнеты чтобы скачать кусочки этой базы на зараженные компьютеры (места то надо много), а потом будут через свои же ботнеты смотреть эту базу чтобы расширять свои ботнеты чтобы… ну вы поняли.
                      0
                      Ну для первичного заражения все равно нормальное подспорье. И потом — никто не мешает им поднять сервер и отдавать своим ботнетам уже готовые адреса, куда можно попробовать ломануться. Впрочем, это все досужие домыслы, сам не вирусописатель, не очень знаком с их логикой.
                    –22
                    Осталось только заархивировать весь интернет алгоритмом Бабушкина.
                      0
                      Где-то на уровне Индии, даже до Китая не дотянули.
                        +22
                        Если научить такого червя поднимать i2p или tor, то наступит конец цензуре интернета текущего уровня.
                          +3
                          А кто то мешает? :)
                            0
                            Сейчас I2P роутер написан на гибриде из Java и некотором наборе нативный бинарных библиотек под конкретную платформу.
                            Несмотря на то что Java кроссплатформенна — запустить ее далеко не везде можно просто и быстро + на слабых устройствах — типа роутеров с 400MHz — просто не потянут.
                              0
                              там больше проблема с оперативной памятью, i2p роутеру нужно минимум 256мб (там еще хуже, требования от трафика зависят)
                                0
                                Точно, простите, забыл про жабу совсем, хотя у самого i2p стоит.
                                  +1
                                  Ну, есть форк на C но он пока в неготовом состоянии.
                            0
                            Хм.
                            А что это за яркое пятно в районе Исламабада интересно?
                              +2
                              Вспоминается WATCH Dogs
                              www.youtube.com/watch?feature=player_detailpage&v=llU16gIGASg
                              ))
                              до CITI OS недалеко )))
                                0
                                прогрессировали экспоненциа… ЧТО? КАК? :-)
                                –2
                                Сразу видно где цивилизация а где до сих пор 19 век.
                                  +1
                                  Если бы только 19-й… В иных местах до сих пор какая-то первобытчина или в лучшем случае средневековье. :-(
                                  +2
                                  да уж :) за МКАДом нет жизни :)
                                    +4
                                    В пределах МКАДА тоже :) Глядя на США, и Европу, в России везде… равномерно… жизни нет :)
                                      +1
                                      Одна из причин в том, что у нас железки и прошивки другие у многих производителей.
                                      Да и серых адресов в разы больше.
                                        0
                                        Другая из причин, что на большей части России жизни реально нет, Если посмотреть за Уралом то есть редкая цепочка городов вдоль ЖД и пару городов на севере.
                                        +2
                                        Да ладно. Возьмите большую картинку

                                        Она гораздо интереснее маленькой.

                                        Во-первых, отчетливо видна корреляция плотности роутеров с плотностью населения (красные точки есть _только_ в Индии, Китае, Индонезии и Бразилии, даже в Европе нет).

                                        Во-вторых, если сравнить Россию и Канаду, например, то сравнение выходит явно не в пользу Канады.
                                          +1
                                          Мне одному кажется, что Вы взяли картинку, отличную от миниатюры в самом посте? Вроде и легенда другая, и подпись другая. В миниатюре из поста Канада видется более «продвинутой» по сравнению с Россией.
                                            0
                                            internetcensus2012.bitbucket.org/images.html там полно в разных разрешениях.
                                                0
                                                Эээ. А вариант контектсное меню — открыть изображение вас чем не устраивал?
                                                  +1
                                                  Ваша картинка не есть увеличеная копия картинки из поста. Прочитайте еще раз мой первый комментарий.
                                                    0
                                                    Я в курсе. Однако постом выше вы зачем-то дали ссылку на приведённую мной картинку. Ну то есть скопировали src просто. Я пытаюсь понять, зачем.
                                                      0
                                                      Еще раз: вы дали ссылку на другую картинку крупного размера. Я Вас поправил, дав ссылку на картинку из поста, но крупного размера, в которой отчетливо видно, что в Канаде больше IP-адресов, чем в России. Крупная картинка из моего комментария не есть крупная картинка из вашего комментария. Присмотритесь внимательней!
                                                        +1
                                                        ыыыы вон оно что. Туплю сегодня.
                                              0
                                              Качественной разницы между этими изображениями — практически нет.
                                              Что подтверждает равномерное распределение уязвимых хостов среди всех хостов с белыми адресами.
                                          0
                                          На карте загрузка сети/время суток видно что в Азии, Европе и Южной Америке наибольшая активность пользователей начинается по окончании рабочего дня, а в Северной Америке пик приходится на полдень.
                                            +1
                                            Хм, а в Бразилии есть признаки жизни. Португальский подучить, что ли.
                                              0
                                              Спасибо, узнал про zpaq!
                                                0
                                                Скайнет на роутерах.
                                                  +1
                                                  Новость, конечно, интересная, но автор припозднился с ней. Ибо за сутки до этого поста практически один в один эта новость уже появилась в интернете
                                                    0
                                                    может новость появилась на хакер.ру? Не могу понять таких фраз «появилось в интернете»
                                                    Да и не все читают этот ресурс.
                                                      +1
                                                      Действительно, текст VerTox отличается от оригинального весьма незначительно.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое