Что будет, если пропинговать все IP-адреса в интернете? Хакеры из компании Security A(r)tWork решили поставить такой эксперимент и посмотреть, что получится.
Они запустили два потока: первый отправлял к каждому IP-адресу запрос ICMP echo, а второй записывал ответы. Такой метод позволил работать спокойно, без особой нагрузки на сервер, а запросы ICMP echo были выбраны как самые невинные, чтобы не создавать проблем окружающим. При этом сканировались все адреса подряд, в том числе частные и закрытые сети.
После 10 часов работы были получены следующие результаты: на пинг ответили 284 401 158 адресов, то есть около 7% всех систем. Если сгруппировать результаты по блокам /8, то процент ответивших систем сильно отличается в каждом из них. Во многих отклик 0,00%, например, в блоках 3.X.X.X, 6.X.X.X, 9.X.X.X и 11.X.X.X, которые принадлежат компании General Electric Company, армии США, компании IBM и Министерству обороны США, соответственно. В других же блоках наблюдается очень высокая активность.
Вот список блоков, откуда пришло больше всего ответов («понгов»): ответили более 22% адресов.
71.X.X.X 4511701 ответов 26,89% ARIN 79.X.X.X 3991921 ответов 23,79% RIPE NCC 88.X.X.X 4356116 ответов 25,96% RIPE NCC 98.X.X.X 4549209 ответов 27,12% ARIN 177.X.X.X 3759343 ответов 22,41% LACNIC 178.X.X.X 4004355 ответов 23,87% RIPE NCC 187.X.X.X 4419158 ответов 26,34% LACNIC 188.X.X.X 3966741 ответов 23,64% Администрируется RIPE NCC 189.X.X.X 5836526 ответов 34,79% LACNIC
Общие результаты представлены на диаграмме.
Результат сканирования подтверждает заявления IANA о резервировании отдельных блоков /8. Действительно, там не замечено никакой активности.
В то же время эксперимент показывает, насколько маленьким является адресное пространство IPv4: кто угодно может просканировать его целиком за полдня. Причём потенциальный злоумышленник может использовать пакеты UDP и попытаться провести какую-нибудь атаку.
Эксперимент принёс ещё один любопытный результат: один из опрошенных серверов, получив запрос, присылал ответы (pong) несколько часов подряд. Исследователям так и не удалось понять, что стало причиной странного явления.
В будущем исследователи Security A(r)tWork намерены опубликовать дополнительные результаты. В любом случае, они извиняются перед всеми, кого побеспокоили.
Кстати, известный хакер HD Moore периодически проводит подобные сканы всего интернета, причём гораздо более жёсткие по TCP и UDP, и он нашёл много интересного: например, около 300 IIS-серверов, которые постоянно отдают одинаковые cookies на каждую сессию, семь серверов Windows NT 3.5.1 с открытым SNMP и многое другое (см. запись презентации на видео).
