Что будет, если пропинговать все IP-адреса в интернете? Хакеры из компании Security A(r)tWork решили поставить такой эксперимент и посмотреть, что получится.

Они запустили два потока: первый отправлял к каждому IP-адресу запрос ICMP echo, а второй записывал ответы. Такой метод позволил работать спокойно, без особой нагрузки на сервер, а запросы ICMP echo были выбраны как самые невинные, чтобы не создавать проблем окружающим. При этом сканировались все адреса подряд, в том числе частные и закрытые сети.

После 10 часов работы были получены следующие результаты: на пинг ответили 284 401 158 адресов, то есть около 7% всех систем. Если сгруппировать результаты по блокам /8, то процент ответивших систем сильно отличается в каждом из них. Во многих отклик 0,00%, например, в блоках 3.X.X.X, 6.X.X.X, 9.X.X.X и 11.X.X.X, которые принадлежат компании General Electric Company, армии США, компании IBM и Министерству обороны США, соответственно. В других же блоках наблюдается очень высокая активность.

Вот список блоков, откуда пришло больше всего ответов («понгов»): ответили более 22% адресов.

71.X.X.X    4511701 ответов   26,89%   ARIN
79.X.X.X    3991921 ответов   23,79%   RIPE NCC
88.X.X.X    4356116 ответов   25,96%   RIPE NCC
98.X.X.X    4549209 ответов   27,12%   ARIN
177.X.X.X   3759343 ответов   22,41%   LACNIC
178.X.X.X   4004355 ответов   23,87%   RIPE NCC
187.X.X.X   4419158 ответов   26,34%   LACNIC
188.X.X.X   3966741 ответов   23,64%   Администрируется RIPE NCC
189.X.X.X   5836526 ответов   34,79%   LACNIC

Общие результаты представлены на диаграмме.

Результат сканирования подтверждает заявления IANA о резервировании отдельных блоков /8. Действительно, там не замечено никакой активности.

В то же время эксперимент показывает, насколько маленьким является адресное пространство IPv4: кто угодно может просканировать его целиком за полдня. Причём потенциальный злоумышленник может использовать пакеты UDP и попытаться провести какую-нибудь атаку.

Эксперимент принёс ещё один любопытный результат: один из опрошенных серверов, получив запрос, присылал ответы (pong) несколько часов подряд. Исследователям так и не удалось понять, что стало причиной странного явления.

В будущем исследователи Security A(r)tWork намерены опубликовать дополнительные результаты. В любом случае, они извиняются перед всеми, кого побеспокоили.

Кстати, известный хакер HD Moore периодически проводит подобные сканы всего интернета, причём гораздо более жёсткие по TCP и UDP, и он нашёл много интересного: например, около 300 IIS-серверов, которые постоянно отдают одинаковые cookies на каждую сессию, семь серверов Windows NT 3.5.1 с открытым SNMP и многое другое (см. запись презентации на видео).


Видеофайл в формате mp4 (442 МБ)

Оставить мнение