Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 132 reacties

Een beveiligingsonderzoeker heeft een portscanner gemaakt waarmee het mogelijk zou zijn om in 3 minuten tijd één bepaalde port op alle ip-adressen op het publieke internet te scannen. Om die snelheid te kunnen bereiken, is wel een zeer snelle uplink vereist.

Volgens de bedenker van de portscanner, Robert Graham, is Masscan de snelste portscanner ter wereld. Tot nu toe stond Zmap bekend als snelste portscanner: die scanner kan in 45 minuten een portscan op alle ip-adressen uitvoeren. Masscan kan dat echter in drie minuten, zo claimt Graham. Daarbij worden niet alle poorten gescand, maar één poort per ip-adres, bijvoorbeeld poort 80.

Graham heeft zijn scanner nog niet op het internet kunnen testen, omdat voor een portscan met die snelheid een internetverbinding met een snelheid van 10Gbit/s nodig. Per seconde moeten namelijk 25 miljoen packets de deur uit worden gedaan, wat met de internetprovider van Graham niet mogelijk was. Daarom heeft de onderzoeker tests uitgevoerd op zijn lokale netwerk. Het is daardoor niet zeker of de tool op het openbare internet even snel is: trage of niet reagerende servers kunnen roet in het eten gooien.

Naast de uitzonderlijk snelle internetverbinding is een dual port-10Gbit/s-netwerkkaart vereist, evenals een speciale driver voor de netwerkkaart. De hoge snelheid is alleen mogelijk onder Linux; om de snelheid van 25 miljoen pakketten per seconde te bereiken moet namelijk de kernel worden omzeild. Windows, OS X en OpenBSD worden ook ondersteund, maar daarbij kan de kernel niet worden omzeild, waardoor de portscanner onder die besturingssystemen maximaal 300.000 pakketten per seconde kan versturen.

masscan

Moderatie-faq Wijzig weergave

Reacties (132)

Ja het IPv4 internet, het IPv6 internet is hij wel even zoet mee :D
Het is wel een knappe prestatie dat het kan...
Behalve dat het IPv6 internet veel minder adressen heeft die in gebruik zijn, dus het hangt er vanaf hoe je gaat scannen.
Als je inderdaad van :: (0000:0000:0000:0000:0000:0000:0000:0000) naar FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF gaat scannen ben je inderdaad wel even bezig, maar als je alleen de actieve prefixes pakt, scheelt het al een hoop. Als je naar prefixes kijkt zijn er op IPv6 vele malen minder actief dan op de IPv4 netwerk (hoewel die natuurlijk wel groter zijn dan de IPv4 subnets). Als je dan ook nog op de een of andere manier kan filteren welke IPv6 adressen er daadwerkelijk actief zijn maak je het lijstje nog weer korter. Dus ja, hangt van je methodiek af.
Weet je wel hoeveel adressen in een /64 prefix (wat de bedoeling is dat abonnees zo'n prefix krijgen). daar past VELE malen het hele IPv4 range in.
Ik heb zelf een /48 prefix, nou daar ben je wel lange tijd zoet mee! Het checken dat een host up is is ook niet zo makkelijk (of je moet een hele korte time out hebben). Niet alle routers sturen terug dat een host down is bijv.

Gebruikelijk wordt een /96 prefix genomen voor IPv4 mapping, maar dat is zelfs al te ruim. Even opgezocht:

voor een /64 prefix 18,446,744,073,709,551,616 IPv6 addresses.
een /48 zijn weer 65 duizend /64 prefixes...

binnen een /64 zitten 4294967296 /96 prefixes, om een idee te geven in welke orde je moet denken!

Nou have fun!

[Reactie gewijzigd door jDuke op 16 september 2013 11:08]

Dit klinkt als een efficiënte manier om het internet "kapot" te maken. Ik kan me niet voorstellen dat welke switch dan ook een dergelijke piek (die zelfs op een europes internet knooppunt direct zichtbaar wordt) goed overleeft zonder ergens wat "taken" aan de kant te zetten.

[Reactie gewijzigd door addo2 op 16 september 2013 10:03]

Eerlijk gezegd denk ik niet dat men vanuit een punt met die 10Gbit het internet "kapot" kan maken. 10Gbit is helemaal niet zoveel als het lijkt in vergelijking met de hoeveelheid data via AMS-IX tot ongeveer 2 Tbit.

Misschien dat het piekje wel zichtbaar is, maar er zit zeker wel meer als genoeg overcapaciteit in om dat aan te kunnen. Daarbij is het zo dat alle pakketjes vanaf het eerste knooppunt verdeeld worden over alle andere knooppunten dus de hoeveelheid data per knooppunt/switch neemt heel snel af.
Het gaat hier om een enkele uplink, ik neem aan dat een ISP niet zijn totale backbonecapaciteit aan 1 klant geeft. Vanaf dat punt zijn het allemaal losse connecties die over verschillende knooppunten gaan. Een dergelijke poortscan zal te zien zijn in de statistieken van de ISP waar hij vandaan komt, maar op het 'totale internet' zal het slechts een druppel op een gloeiende plaat zijn.

Wat betreft de switches, een beetje switch met 10G poortjes heeft echt wel een grote veelvoud aan backbone beschikbaar, hoor. Zelfs de Arista's die we hier op de zaak hebben draaien liggen al niet wakker van een beetje 10G verkeer.
Een 10Gbps piek? Je linkt zelf naar een grafiek van slechts één exchange (wel een van de grootste maargoed) waarbij die 10Gbps al niet eens opvalt omdat normaal verkeer 2.4Tbps is. Dat doet minder dan een nieuwe aflevering van iets populairs op Netflix, gok ik zo.

Een gemiddelde switch heeft tegenwoordig op 1 hoogte-eenheid (grofweg 5 centimer) in een 19" rack 48 10G verbindingen zitten met een backplane die dat makkelijk aan kan, dus nee, 10G is niet veel.

Als je Internet wil hinderen ga je niet portscannen, dan doe je gewoon een Ddos, kost veel minder werk dan een portscan zo groot maken dat die gaat hinderen. Daar heb je ook geen bandbreedte voor nodig bij de machine die de attack start, die komt wel bij de zombies vandaan, die je dan weer kan opsporen door met een als in het artikel genoemd tooltje het internet te portscannen.

Bottomline kan dit voor net zoveel goede als kwade dingen worden gebruikt. Echt neutrale technologie ;)
Hacken is zijn favoriete bezigheid, maar doet dit met publiek. Hij heeft de BlackICE firewall ooit gemaakt.
http://www.zoominfo.com/p/Robert-Graham/53211915

[Reactie gewijzigd door peter123 op 16 september 2013 10:16]

Ik heb het getest op mijn colo-server en het werkt gewoon!

git clone https://github.com/robertdavidgraham/masscan.git
cd masscan
yum install libpcap-devel
make
cd bin
./masscan -p80 10.0.0.0/8
Is er eigenlijk een nuttige reden te verzinnen waarom je dit zou willen?

Maybe it's me... maar ik kom alleen op niet al te beste bedoelingen uit...
Ik heb ooit proxyBL.org opgezet en hier ook een scanner voor ontwikkeld. Het verschil is dat proxyBL alle 65535 poorten scant en daar 26 uur voor nodig heeft voor de announced ranges van de ipv4 space. Ook wordt daar niet alleen gekeken of een poort open is natuurlijk.

Dit is wel erg interessant, maar wat betreft proxyBL zijn we nu eerst de storage aan het aanpakken (daarom is de BL nu leeg). Zelfs een BDB op een memory disk houdt het niet bij, en we hebben eerder al moeten clusteren.

Dus goed, snel scannen is fijn, maar als je dan ook nog wat wilt met de resultaten dan loop je tegen andere problemen aan.
Straks met IPv6, lekker snel als je bedrijfsnetwerk even wilt gaan scannen voor vulnerabilities.
Ja, heerlijk snel, als je het even door rekent, met IPv6 krijg je vaak iets van een /48 toegewezen. Dat zijn dus 128-48=80 bits adresruimte. Het kost met deze tool 3 minuten om 32 bits adresruimte te scannen, en dan dus maar een poort. Om 80 bit space te scannen doe je daar dus twee tot de macht 48(=80-32) keer drie minuten over. Ongeveer 1.6 miljard jaar per poort dus. 8)7
Je gaat er dan wel naief van uit dat die addressen willekeurig zijn. Dat is natuurlijk niet zo.

Doorgaans zal het lage deel bestaan uit een MAC adres (enigszins verknipt), en hoewel die 6 bytes beslaan, zijn veel bits redundant en zit er een bedrijfscode prefix in. Dus die ruimte is al kleiner dan die 32-bit van ipv4.

Het hoge deel - die 80 bits - bestaat alleen uit routeerbare adressen, en de eerste 16 bits zijn op het moment steevast hetzelfde.

Van deze bits kun je ook vrij goed aanduiden welke delen er momenteel in gebruik zijn.

Dus met iets meer intelligentie dan "for (i = 0, i < (1 << 80); ++i)" kom je een heel eind.
Jij gaat er dus naief van uit dat geen van de adressen 'cryptographically generated' of 'privacy enhanced' zijn.
Ik voel mij ineens een stuk veiliger met IPv6 :D
Waar blijft het? Zou het de NSA zijn die dit juist geen fijn idee vindt? Kan mij ergens daarbij wel voorstellen.
Ik denk dat de NSA juist staat te springen, omdat alles en iedereen dan z'n eigen IP houdt (waarom zou je wisselen), wat traceren een stuk eenvoudiger maakt. Poortscannen is alleen voor minder-bedeelde hackers, zeker op deze schaal. Als je je specifiek op 1 computer richt is een portscan ook onder IPv6 zo gedaan. Het grove zoekwerk doen geheime diensten wel via de dienst-ingang van je provider ;)
De meeste OS'en hebben een speciale privacy feature, waardoor je na iedere reboot een nieuw ipadres krijgt.

http://otrs.menandmice.co...n=PublicFAQZoom;ItemID=91
Dat zou handig geweest zijn als je OS kan bepalen wat je IP gaat worden. Maar dat kan je OS dus niet, dus is dat niet relevant. Je IP adres krijg je altijd van je router, of die nou in je huiskamer staat, of in de centrale van de ISP (spoofen daar gelaten).
Veel van die adresruimte is niet te gebruiken vanwege routing. De minimum globally routable prefix is nu al /32 bij RIPE en gaat naar /28 toe. Autoconfig wordt opgebouwd uit het MAC van de if en zijn dus voorspelbaar (iig de eerste helft van de bits).

Dus je kan driekwart van de adressen al uitsluiten. 25% is nog steeds veel, maar als je de trends van steeds snellere backbones volgt dan wordt het sneller mogelijk om ipv6 globaal te scannen dan het nu geduurt heeft voordat iemand het op ipv4 kon.

Edit: Ik heb hier al eens een enorm verhaal over getypt, zie: raphidae in 'nieuws: Ipv6-verkeer op internetknooppunt AMS-IX neemt weer af' en de discussie eronder.

[Reactie gewijzigd door raphidae op 16 september 2013 16:54]

"Veel van die adresruimte is niet te gebruiken vanwege routing."

Leg eens uit dan.

"De minimum globally routable prefix is nu al /32 bij RIPE en gaat naar /28 toe."

Dus 'nog' grotere subnets dan de /48 waar ik het over had als voorbeeld!

"Autoconfig wordt opgebouwd uit het MAC van de if en zijn dus voorspelbaar (iig de eerste helft van de bits)."

Dat geld dus alleen voor EUI-64! Wel eens van privacy extension gehoord?
Zie link in edit.
Ok, heb je verhaal gelezen, leuk stukje over het prefix verhaal enzo, maar dus niet erg relevant voor het scannen binnen één (bijvoorbeeld /48 zoals xs4all die zelfs aan concumenten uigeeft) prefix.
Je routing verhaal en minimum globally routable prefix zijn daarbij namelijk irrelevant, en jouw EUI-64 based autoconfig argument is ondertussen grotendeels door de realiteit van privacy enhancement ingehaald.
Ik heb het niet echt meer bijgehouden, maar de laatste draft die ik las van RFC 4941 had elke host ook met privacy extentions nog steeds een IEEE (locally derived information, MAC dus) adres, en bestonden de privacy extentions uit een *extra* adres voor uitgaande connecties. De privacy is dan dat als je tweakers.net bezoekt zij telkens een ander adres in de logs zien.

Het IEEE adres van de host blijft nog steeds in gebruik (is nodig voor local routing) en blijft gedeeltelijk te voorspellen (of in ieder geval is een erg groot deel uit te sluiten als IEEE adres) en naar te connecten indien services op INADDR_ANY gebonden zijn, en dus maken die privacy adressen vrijwel niets uit voor het scannen.

http://tools.ietf.org/html/rfc4941

De abstract is niet veranderd, kijk zelf even of bovenstaande nog het geval is als je het interessant vind, ik heb er geen tijd voor ;)

[Reactie gewijzigd door raphidae op 16 september 2013 18:53]

Onder IPv6 zou je er 31 biljoen x de leeftijd van het heelal over doen om de complete adresruimte te scannen met de snelheid van deze scanner (4,31×10^23 jaren). :)
Zoals de andere reacties ook al aangeven onderschat je het aantal IP adressen dat met v6 beschikbaar komt. En niet een klein beetje ;) Voor de hele address space gaat dat dus niet werken.

Wellicht is het wel haalbaar als je alleen een scan uitvoert op de stukken IPv6 waar je als bedrijf gebruik van gaat maken, maar dan nog is het lastig, het kleinst uit te geven subnet voor een vlan is een /64, dat laat dus 64 bits over aan address space waar machines in kunnen zitten.
Een tool als deze is nuttig om als systeem beheerder te kijken wat allemaal op je eigen netwerken draait. Het is natuurlijk veel handiger om dan alle poorten te scannen.
maar als je het hele internet kan scannen in 3 minuten, hoeveel nano seconden ben je dan bezig op je eigen netwerk? dan lijkt mij deze tool een beetje overbodig snel
Voor spammers en spy/adaware als ook virussen natuurlijk een perfecte tool.
Maar dan nog; die oude Zmap deed er blijkbaar 'maar' 45 munuten over. Dat is ook nog ruim voldoende voor de gemiddelde spammer.

Daarnaast heb je zùlke gespeciale verbindingen met je provider nodig dat je dit ook niet annoniem kan doen. Dat is ook iets waar de gemiddelde spammer niet zo blij mee zal zijn.

De enige 2 legale opties die ik zie zijn:
  • dat je de tool gebruikt om statistieken over het internet te verzamelen
  • of anders is het wellicht puur omdat het kàn.
Zmap deed die 45 scan vanaf een server met een 1G touwtje, dat is geen gespecialiseerde verbinding. Als ik dan, als kwaadwillende onderzoeker, het Internet in 10 blokken hak en ik scan vanaf 10 plekken een deel van de IP space heb ik een redelijk low profile, een machine die grofweg een uur lang 100Mbit verstuurd lijkt me toch niet echt raar.
Dat hangt er vanaf, iets doet me vermoeden dat er weinig mensen tonnen poorten scannen, en zoiets vanaf een 'burgerbakkie' toch vlaggen oplevert bij je provider. 100 Mbit is nogal wat, zeker met portscan-pakketjes (waar je provider dan weer met z'n tengels af moet blijven ivm netwerkneutraliteit en privacy).
Heb je wel eens een smtp server zonder wachtwoord voor de grap open gezet op je eigen internet verbinding? Ik wel (per ongeluk) een keer en binnen een paar seconden heb je spammers die via je IP mail versturen.

Dat zal met andere services niet anders zijn denk ik. De eerste stap voor bijvoorbeeld een spammer is dus portscannen.

[Reactie gewijzigd door GeoBeo op 16 september 2013 14:38]

Het zijn geen portscan pakketjes, het is gewoon een pakket met een source en destination port en IP als ieder ander Internetpakket, dat zie je dus niet zo makkelijk.

En 100mbit is heden ten dage erg weinig, zeker als het uit de cloud van een grote hoster komt. Je hebt het daarna over een totaalstroom van minder dan 1Gbit (in het geval van zmap) die over het hele internet verspreid is, dat zie je niet zo makkelijk terug.

Het boeit ook niet zo. Je wil niet dat men vanaf het Internet je dienstplatformen kan benaderen met SSH. Dus zet je port 22 dicht aan de voorkant. Dat iemand dan toch aanklopt zie je uiteindelijk indien gewenst wel met intrusion detection of door logfile analyse, daar ga je geen portscan-blocker voor inrichten ofzo.
Ik snap daarom niet dat er niet op routering-niveau wordt gethrottled op dit soort acties. Het moet toch makkelijk te detecteren zijn wanneer iemand zo'n portscan zit uit te voeren.
Technisch gezien kan dat natuurlijk we, maar dan zitten we ook nog met zaken zoals netwerkneutraliteit.
Ehm, als iemand pakketjes zit te sturen naar het hele web, dan is daar wel een uitzondering op te maken. Als dergelijke uitzonderingen er niet zijn kun je dat juist zien als een zwakte van het internet.

Om een vergelijking te maken: in principe heeft iedereen vrij toegang tot de Dam. Staan er ineens een paar duizend mensen, dan komt er echt wel eventjes wat M.E. kijken :)
Maar wat als nu "de hele wereld" besluit om via Youtube live de finale van het WK te kijken? Wordt Youtube dus (vooropgesteld dat dat broadcast achtig verkeer is) dan ook maar gethrottled?
Neem het Dam-voorbeeld. Als er een speciaal evenement is (bijvoorbeeld koninginnedag ofzo) dan is dat een uitzondering. Zo zou dat op internet ook kunnen werken.

Technisch gezien kun je het in theorie ook detecteren: als de hele wereld eerst naar youtube gaat en daarmee dus instemt om pakketten van een bepaalde server te ontvangen, dan kun je dat meenemen in je policies waarmee je internetverkeer regelt.
Iedere dag is er wel ergens een evenement
Maar wat als nu "de hele wereld" besluit om via Youtube live de finale van het WK te kijken? Wordt Youtube dus (vooropgesteld dat dat broadcast achtig verkeer is) dan ook maar gethrottled?
Youtube is geen broadcast-verkeer. Ook genereert deze portscanner geen broadcast-verkeer, maar connectie naar heel veel unieke IP-adressen.
Technisch gezien kan dat natuurlijk we, maar dan zitten we ook nog met zaken zoals netwerkneutraliteit.
Leuk zo netwerkneutraliteit die je tegenhoud betere beveiligingen in te bouwen. handig zo zeer doordachte wet die door druk van media en groepje mensen erdoorheen is gejast zonder echte onderzoek. En enge is nog dat zo goed als digibeten erover beslissen met wat info van lobbyisten/"deskundige" en dergelijke. :P :+

Maar even zonder dollen, netwerkneutraliteit hoeft niet in gevaar te komen, je mag gewoon verkeer monitoren waar het vandaan komt en waar naartoe. sterker nog zijn ze verplicht, die data moet ISP namelijk opslaan, je kan dus zonder data te analyseren dit soort massa aanvragen gewoon herkennen, immers moet zijn IP met alle andere IP's verbinding maken. Geen enkele normale internet gebruiker zal zulke scans uitvoeren, niemand hoeft in principe alle ip's te scannen.
McAfee enterprise schiet alerts in als die het detecteerd op werkstations en logt de source.

Etherape is in staat dit perfect realtime te visualiseren als het gebeurd met je LAN(licht op als een kerstboom). Nagios kan hier vast ook wel iets mee.

Maar of je hier nou adressen geautomatiseerd voor moet uitsluiten? Nee, want dat word een administratief wereldwijd zooitje.

Ik ben er zelf voor lokaal(op het werk, maar ook thuis), het IP uit te sluiten(als een soort spamfilter). Als het voor je gebruikers van belang is, gaat er vanzelf wel iemand piepen, en zoek je het met diegene verder uit..
Maar of je hier nou adressen geautomatiseerd voor moet uitsluiten? Nee, want dat word een administratief wereldwijd zooitje.
Ik denk ook dat iemand met kwade bedoelingen niet heel braaf zijn eigen bron-adres in het IP pakketje laat staan. Dan spoof je één of ander willekeurig source-adres, of routeer je alles op een manier dat het niet terug te traceren valt.

Een beetje spammer pakt ook gewoon een botnet voor dit soort geintjes.
Je zal er nog van staan te kijken hoe dom commerciele spammers zijn.

Van elk nigeriaans erfenismailtje kun je ook de bron tracen, maar niemand doet er iets aan.
Tja, maar als je ook nog een respons krijgen wil (zal toch handig zijn, met een port scanner :+ ) lijkt dat me toch minder haalbaar.
Dit zal eruit zien als ieder ander verkeer vanaf Internet naar de IP wolk van jouw netwerk, het enige dat opvalt is dat alle requests vanaf één adres komen. Dat lijkt me niet iets dat je standaard monitort. Bovendien ga ik er van uit dat deze, toch wel handige scanner, om niet meteen tegen de lamp te kopen die requests in een random volgorde naar Internet stuurt zodat je naar ieder IP in jouw domein 1 pakketje ziet binnen een periode van een paar minuten. Niet een heel schrikbarende hoeveelheid data ;)
het enige dat opvalt is dat alle requests vanaf één adres komen. Dat lijkt me niet iets dat je standaard monitort.
Het idee was nou net om dat wel te doen :)
Hoe wil je dat zien dan? Alle datastromen waarbij vanaf 1 IP meerdere pakketten komen naar verschillende destinations in je netwerk onder alarm brengen? Dan heb je continue roodgloeiende meldingen van allerlei systemen van Google, Facebook, Netflix, Tweakers en ga zo maar door. Dit is ook niet per definitie malafide verkeer. Je netwerk moet sowieso bestand zijn tegen mensen die langs komen om te kijken wat er open staat en dat kan je zelf ook controleren met dit soort tools.
Etherape. Kan je dit HEEL duidelijk zien
Je netwerk moet sowieso bestand zijn tegen mensen die langs komen om te kijken wat er open staat en dat kan je zelf ook controleren met dit soort tools.
Daar ging het ook niet direct om. Het probleem is meer dat mensen op deze manier onnodig het netwerk kunnen belasten.
Ik zou wel graag een snelle scan op dode links willen doen om mijn systeem op te schonen. Of zijn daar andere eenvoudige methoden voor? (Niet met de hand graag!).
Het is niet zo dat je hier nu alle websites in enkele minuten mee kunt scannen.
Er zijn potentieel veel meer dode links dan IP(v4) adressen.
Aan elk IPv4 adres kan meer dan één DNS naam gekoppeld zijn. (of geen)
Achter elke DNS naam zullen in de regel meerdere URL's zitten.
En potentieel op elke URL weer 1 of meerdere (al dan niet dode) links.

M.a.w.: voor jouw doel heb je iets anders nodig dan een portscanner.
Nou ja hackers zouden zo'n tool wel willen hebben. Daarnaast omdat het kan :)

Nee ik denk dat zo'n tool erg handig kan zijn om een bepaald publiek IP range te scannen. Bijvoorbeeld om je eigen netwerk die over een aantal continenten te testen daarbij wel in je achterhoofd houden dat 1 poort eigenlijk onbruikbaar is. Je zult alle poorten op je eigen netwerk willen testen van af buien je eigen netwerk om zeker te zijn dat niet alle non required porten open staan.
Zeroday expliot op bijv. RDP. Even het hele internet scannen op poort 3389 en krijgt een lijstje waar je kan toeslaan.
3389 is een van de meest gescande poorten. Evenals 1433 (ms-sql), 22 (ssh), 23 (telnet), 5900 (vnc).
Poort 80 kan ook handig zijn :) heb zo het segment waar mijn publieke adres op stond kunnen nakijken. Je wilt niet weten hoeveel mensen wel niet gewoon bloot op het internet rond hangen..
Inderdaad, het is m.i. vooral bedoelt om "lekken" te vinden die misbruikt kunnen worden. Ik heb ooit in een ver verleden ook dergelijke programmaatjes gebruikt om servers te vinden op deze manier. Die konden dan "tijdelijk geleend worden" om bestanden op te plaatsen en te delen met anderen. FXP boards anyone? :+
Ben jij de misbruiker van mijn servertje zo'n 9 jaar geleden? Ik had ineens een hele zooi bestanden erop staan }> Was wel handig. Toegang ontzeggen en ik had de nieuwste software :+
Yep... De FXP boards ken ik nog wel :)
Altijd maar weer de vraag wat je nog kon downloaden en of de server nog beschikbaar was...
Om door te hebben hoeveel er te vinden (en dit is dan beperkt toch maar een paar poorten) is zou ik je aanraden om eens http://www.shodanhq.com/ te bekijken:
Shodan is a search engine that lets you find specific types of computers (routers, servers, etc.) using a variety of filters. Some have also described it as a search engine of service banners, which are meta-data the server sends back to the client.[1] This can be information about the server software, what options the service supports, a welcome message or anything else that the client would like to know before interacting with the server.
Of eens door deze presentatie te bladeren (lang niet zo leuk als de orginele presentatie met alle verhalen erbij, maar kijk toch maar):
http://conference.hitb.or...ter%20Search%20Engine.pdf

Toegegeven, dat het nu in 3 minuten zou kunnen ipv 45 lijkt me niet de meest nuttige verbetering, maar de hoeveelheid dingen die criminelen potentieel kunnen vinden is echt verbazend.

Je moet trouwens maar eens in je logs kijken, komen genoeg bots/scanners/weet ik veel wat allemaal langs (vooral uit de hoek van china enzo :+), zolang je je software lekker up to date houd enzo hoeft er niks aan de hand te zijn, maar feit is het gebeurd wel en niet iedereen houd z'n software up to date.

[Reactie gewijzigd door David Mulder op 16 september 2013 10:36]

Open sollicitatie bij de NSA? ;)
Proof of concepts zijn altijd indirect nuttig :D
Is er eigenlijk een nuttige reden te verzinnen waarom je dit zou willen?

Maybe it's me... maar ik kom alleen op niet al te beste bedoelingen uit...
Ik kan er een paar verzinnen
a)- botnet bouwers die vulnerabilities testen
b)- NSA die vulnerabilities test (eigenlijk zelfde als A)
Is er eigenlijk een nuttige reden te verzinnen waarom je dit zou willen?

Maybe it's me... maar ik kom alleen op niet al te beste bedoelingen uit...
Mja, dat geldt voor iedereen denk ik?

Ik vraag me meer wat de nieuwswaarde is, ik bedoel, 't ding kan in 3 minuten alle ip addy scannen indien je een 10gbit/s uplink hebt, maar is je uplink nt sowieso je bottleneck regardless welke applicatie je gebruikt?

[Reactie gewijzigd door Rey Nemaattori op 16 september 2013 16:28]

Als je een botnet wilt lanceren, dan ja.
Als je een worm wilt loslaten, dan ja.
Als je je als beheerder je eigen netwerk wilt testen, dan ja.
Denk dat de NSA ook wel interesse heeft, als ze niet al vergelijkbare software hebben.
Ik zou zeggen, op naar de NSA met die Portscanner.

Ik kan me haast niet voorstellen dat het internet zelf snel genoeg is om dat in 3 minuten te kunnen. Het hele internet heeft geen snelheid van 10Gbit. Hij heeft het op zijn eigen netwerk gebruikt, intern haal je die snelheden wel. Maar daarbuiten vraag ik me af...
het internet hoeft ook niet overal even snel te zijn? alle pakketjes volgen hun eigen weg, zolang de uplink en de backbone dit tenminste aan kunnen zou er geen probleem moeten zijn.
Ja maar als er miljoenen pakketjes bij een bepaalde router op tier1 of tier2 niveau komen, dan kan die router zeggen: hee, daar zit iemand te portscannen, laat ik die pakketten eens even vertragen of zelfs blokkeren.
Ja maar als er miljoenen pakketjes bij een bepaalde router op tier1 of tier2 niveau komen, dan kan die router zeggen: hee, daar zit iemand te portscannen, laat ik die pakketten eens even vertragen of zelfs blokkeren.
Leuk bedacht, maar op dat niveau doen routers niet meer dan 'pakketje naar A? ok, interface 1 uit. Pakketje naar B? Ah die moet naar interface 2'. Met de inhoud bemoeit men zich niet.
Dat doen die routers dan verkeerd :)
Trouwens, het heeft niets met de "inhoud" van de pakketten van doen. Alleen de addressen zijn genoeg.

[Reactie gewijzigd door twop op 18 september 2013 16:09]

Nouja, 'inhoud'. Context bedoel ik in dit geval. Een carrier router doet dat soort shit niet want dat is gewoon niet hun pakkie an. Beveiliging is aan de eindgebruiker.

[Reactie gewijzigd door CyBeR op 18 september 2013 18:49]

Ik zou zeggen, op naar de NSA met die Portscanner.

Ik kan me haast niet voorstellen dat het internet zelf snel genoeg is om dat in 3 minuten te kunnen. Het hele internet heeft geen snelheid van 10Gbit. Hij heeft het op zijn eigen netwerk gebruikt, intern haal je die snelheden wel. Maar daarbuiten vraag ik me af...
Een aardig deel van het internet gaat inderdaad beduidend harder dan een luttele 10gbit.
Als hij z'n IP spooft heeft hij ook meteen een epische DDOS-tool weten te maken.
DDOS? Volgens mij is de enige die geDDOS't wordt hijzelf. Zijn IP is de enige die meer dan 1 pakketje ontvangt.
Nee als hij zijn IP spooft - dus doet alsof iemand anders de pakketjes heeft verzonden - worden alle replies naar het gespoofde IP gestuurd.
Heel erg vet.

Relatief slecht nieuws dat het allemaal zó snel kan. Ikzelf heb bijvoorbeeld wel een aantal poorten open staan (ook al in zit er een 401 challenge achter, echt veilig is het niet).

Nu heeft dit machine geen belangrijke informatie, maar zou het jammer vinden als hij ingezet zou kunnen worden in een botnet
Mja, je mag best weten dat er op mijn IP op poortje 22 SSH draait hoor, poortscannen is relatief ongevaarlijk. Voor je in een Botnet zit moeten ze (via deze weg dan) ook weten welke webserver je draait, en daar een exploit op vinden. Hou je software up to date en er is niks aan de hand
Ja, dat ben ik met je eens. Ik NAT bewust geen SSH (doe ik via VPN) maar toch, ik kan me voorstellen dat een media pakkets' webserver (zoals CP of SB of sab) toch best wel een foutje bevat wat pas na een flinke periode aan het licht komt!
[Ik NAT bewust geen SSH (doe ik via VPN)
/offtopic: Waarom? Heb je reden om aan te nemen dat SSH minder veilig is als VPN (Welke, trouwens?)
Nee, maar het voelt gewoon niet lekker :) ik ontsluit alleen webservices naar het web, geen andere services :)
Je kan ook port knocking gebruiken om je ssh of andere dienst te 'verbergen', zit er lek in OpenSSH, dan is je server niet meteen compromised. Zie http://en.wikipedia.org/wiki/Port_knocking
Inderdaad, maar ik zou toch aanraden een service als fail2ban te draaien die een ip blokt na 3 verkeerde login attempts.

vroeger draaide ik een ssh server zonder deze beveiliging en in de logs kwamen verschillende brute force login pogingen naar boven. Met deze beveiliging is dat risico quasi onbestaande.

Als je het nog veiliger wil spelen kan je gebruik maken van port-knocking. (vb pingen naar bepaalde nietsbeduidende poorten in een welbepaalde volgorde en poort 22 open zich dan pas naar het internet).
Sowieso zou ik voor SSH geen wachtwoorden gebruiken maar alleen private keys. Deze zijn niet te brute forcen.
Ik heb een synology nas met email en ftp poorten geforward. Hoe veilig is zo'n NAS eigenlijk. ik krijg dagelijks meldingen dat ze proberen in te breken. maar vraag me vooral af hoe goed de beveiliging op mijn nasje is. ik draai DSM 4.3

[Reactie gewijzigd door sygys op 16 september 2013 10:39]

Niet meer eens. Een botnet is een geautomatiseerd proces waarbij IP ranges al dan niet willekeurig worden gescanned opzoek naar vunrable computers. Het is schieten met hagel in de hoop iets te vinden. Die lui gaan echt niet eerst de verschillende services op jouw server in kaart brengen om vervolgens naar een passende exploit te zoeken. Dat lijkt al veel meer op een gerichte aanval, schieten met een kogel.
Wat betreft je software up2date houden, dat altijd maar ben je dan veilig? Nee. Het is een kwestie van tijd voordat er een gat in je service gevonden wordt om vervolgens gecompromeerd te worden. Kijk maar eens op http://www.exploit-db.com/ Daar staan elkedag nieuwe exploits op. Mijn voorkeur heeft het dan ook om een dienst niet op een standaard poortje aan te bieden. Waarom draai je je sshd niet op poortje 2222? Neemt niet weg dat deze niet gevonden kan worden, maar minder makkelijk door door die botnetscanners.
Security through obscurity is nooit goed, je moet niet bang hoeven zijn voor een poortscan.

Ik zou mij zo voor kunnen stellen dat een scan naar poorten voor databaseservers wel interessant kan zijn. Psql servertje die per ongeluk publiek bereikbaar is ofzo.
Inderdaad. Dit soort ontwikkelingen maakt heel duidelijk dat security through obscurity uberhaupt geen optie meer is als het gaat om openstaande poorten. Discussies zijn zinloos geworden, met de juiste tooltjes heeft iemand binnen een dag (erg ruim genomen) jouw hele netwerk gescand op alle zinnig misbruikbare poorten. Van die stellingen als "maar die paar gaatjes vinden ze nooit" gaan gewoon niet meer op, dit is brute-forceable geworden :)
Pakketje versturen is 1, maar wat doet hij met de 3,5miljard replies?

Zoveel pakketjes versturen is pas deel 1 van het verhaal.
Ik vermoed dat op het merendeel geen antwoord komt.

Volgens mij waar bij deze portscanner ook geen rekening gehouden wordt is dat er packets verloren kunnen gaan.
Dan stuur je er toch nog 1 ? :+
Zo werkt het niet. Hij krijgt juist een [ACK] van luisterende poorten. Een Stealth Syn op 3389 geeft op luisterende hosts een ACK terug.
Los van het feit dat de NSA hier vast een leuke toepassing voor kan bedenken, vraag ik me af wat het practische nu voor Jan Modaal op de lange termijn kan zijn?
Ik denk dat niet alleen NSA maar alle geheime diensten hier interesse in hebben.
Wat had Jan Modaal destijds aan de uitvinding van de transistor? I rest my case.
Jan Modaal kan hier niks mee, net als 99% van alle andere technologie. Dit is dan ook niet voor Jan Modaal bedoeld, net als 99% van alle andere research ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True