Представлен ZMap, инструмент для глобального сканирования Сети

19 августа 2013 года

Группа исследователей из Мичиганского университета представила на конференции USENIX Security новый открытый инструмент для сканирования сетей - ZMap. Отличительной особенностью ZMap является сверхвысокая скорость сканирования адресов, делающая инструмент пригодным для проведения глобальных исследований Сети. На обычной настольной системе с гигабитным Ethernet-соединением ZMap способен обеспечить скорость сканирования в 1.4 млн пакетов в секунду, что позволяет просканировать весь диапазон публичных IPv4-адресов всего за 45 минут. Код ZMap распространяется под лицензией Apache.

Если утилиты, такие как nmap, проектировались для сканирования небольших сегментов сетей, то архитектура zmap изначально рассчитана на сканирование всего адресного пространства. В отличие от nmap, zmap не отслеживает состояние каждого отдельного соединения, не пытается учитывать таймауты, не поддерживает повторную отправку недошедших пакетов и не занимается распределением нагрузки. Вместо этого, zmap оперирует статистическими показателями, выбирая адреса в результате случайной выборки. Для отправки проверочных запросов zmap непосредственно генерирует Ethernet-кадры, минуя TCP/IP стек, что позволяет добиться максимальной производительности, которую может обеспечить сетевая карта. В итоге, zmap обеспечивает скорость сканировния, превышающую показатели nmap в 1300 раз.

ZMap поддерживает (Архивная копия от 28 марта 2016 на Wayback Machine) достаточно гибкий набор опций, позволяющих определять интенсивность проверки и ограничивать пропускную способность. Вместо конкретных диапазонов сканируемых адресов задаётся общий лимит, позволяющий просканировать определённое число случайных адресов из всего адресного пространства. Для указания какие подсети следует сканировать, а какие нет, можно определить черный и белый списки подсетей. Результат может быть сохранён в обычный текстовый файл или записан в БД Redis.

Система построена на модульной основе и поддерживает интеграцию с произвольными инструментами для исследования сети. Среди поддерживаемых методов сканирования реализована проверка портов через отправку SYN-запросов TCP, проверка доступности адреса через echo-запросы ICMP и проверка через UDP. Из областей применения ZMap отмечается изучение степени внедрения тех или иных протоколов, мониторинг доступности сервисов и помощь в понимании структуры больших распределённых по всей Сети систем.

Из проведённых с использованием ZMap исследований отмечается анализ всей инфраструктуры HTTPS, который выявил 42 млн сертификатов, из которых только 6.9 млн входят в область доверия браузеров. В процессе сканирования также было выявлено два набора неправильно выданных SSL-сертификатов. Другое исследование было направлено на оценку степени устранения раскрытой в январе уязвимости в устройствах с поддержкой UPnP. Из выявленных в процессе сканирования 15.7 млн устройств, уязвимость по прежнему присутствует в 3.3 млн из них.