¿Cómo escanear todo Internet 3.7 mil millones de IP’s en pocos minutos?

Profesionales del hacking ético y servicios de auditoría de seguridad informática normalmente usan un escáner para verificar revisar la seguridad. El escaneo de todas las direcciones IP en Internet no es un trabajo fácil, y si usted no tiene los recursos de un botnet, un simple escaneo puede tomar meses. Va a ser muy difícil, si usted quiere tomar una foto grande de internet porque hacer un escaneo de las redes ha tomado típicamente semanas o meses. Sin embargo, ahora esto es posible, explican expertos de servicios de seguridad informática, con la ayuda de nuevas herramientas como ZMap, Masscan y otras. En este artículo vamos a cubrir diferentes herramientas avanzadas y muy rápidas de escaneo de puertos.

ZMap

ZMap está diseñado para ejecutar escaneos generalizados del espacio de direcciones IPv4 o gran parte de ellas. Es una poderosa herramienta para los investigadores de servicios de auditoría de seguridad informática, y puede escanear el espacio de direcciones IPv4 entero con más de 1.4 millones de paquetes por segundo. ZMap no pretende reemplazar los escáneres generales como Nmap, el cual es excelente para el escaneo de subredes en profundidad. ZMap está diseñado para hacer un escaneo superficial – por lo general de un solo puerto o servicio – de todo el Internet, o al menos el Internet IPv4, desde una sola computadora dedicada a ello, en menos de una hora. Ame Wilson, una consultora de servicios de auditoría de seguridad informática menciona que ZMap es capaz de escanear el espacio de direcciones públicas IPv4 más de 1300 veces más rápido que el Nmap.

ZMAP es competente de trabajar tan rápido porque utiliza grupos de cíclicos multiplicativos. ZMap ha sido diseñado para conseguir paralelismo y rendimiento. En primer lugar, se encuentra completamente sin estado, lo que significa que no conserva un estatus por conexión. En lugar de mantener una lista gigante de paquetes enviados,  el tiempo que han estado ahí, cuánto tiempo más se debe esperar para cada uno, y cuidadosamente la actualizar la lista con cada respuesta; ZMAP simplemente arroja  todo eso a través de grupos de cíclicos multiplicativos explica Ame Wilson, consultora  de servicios de auditoría de seguridad informática.

En segundo lugar, envía en paralelo tantos paquetes como la red lo permite, con el fin de lograr la mayor tasa posible. Los paquetes se envían en un orden aleatorio, para que si mucha gente lo usa al mismo tiempo no ocasionen un ataque DDOS, de esta manera se reduce la probabilidad de sobrecarga de una única red. Aunque cada paquete sucesivo sigue una estricta secuencia algorítmica, los números IP rebotan en todo el espacio de direcciones IPv4. Como resultado, usted no recibe cientos o miles de paquetes que convergen en una sola subred al mismo tiempo.

Debido a estas razones con ZMAP podemos escanear alrededor de 3.7 billones de direcciones dentro las direcciones IPv4, en una hora. Así que con ZMAP, usted realmente puede revisar todo el Internet.

Por defecto, ZMap realizará un escaneo SYN TCP en el puerto especificado a la máxima velocidad posible. Una configuración más conservadora que escaneará 10,000 direcciones aleatorias en el puerto 80 en un máximo de 10 Mbps se puede ejecutar de la siguiente manera:

$ ZMap –bandwidth=10M –target-port=80 –max-targets=10000 –output-file=results.csv

ZMap puede utilizarse también para explorar bloques CIDR o subredes específicas. Por ejemplo, para escanear sólo 10.0.0.0/8 y 192.168.0.0/16 en el puerto 80, ejecute:br>
ZMap -p 80 -o results.csv 10.0.0.0/8 192.168.0.0/16

De acuerdo con la experta en servicios de seguridad informática, por defecto, ZMap entregará una lista de direcciones IP distintas, que respondieron correctamente (por ejemplo con un paquete SYN ACK). Le recomendamos utilizar un archivo de la lista negra, para excluir tanto el espacio IP reservado/asignado (por ejemplo, multicast, RFC1918), así como las redes que soliciten ser excluidas de escaneos. Por defecto, ZMap utilizará un archivo de la lista negra simple que contiene direcciones reservadas y no asignadas en /etc/ZMap/blacklist.conf.

MASSCAN : Escáner puertos de muchas IP’s
Este es el escáner de puertos de Internet más rápido, ya que puede escanear todo el Internet en menos de 6 minutos con una transmisión de 10 millones de paquetes por segundo, de acuerdo con el profesor de hacking ético. Produce resultados similares a Nmap y utiliza una transmisión asíncrona. La principal diferencia es que esta herramienta es más rápida que los otros escáneres. Además, es más flexible, permitiendo rangos de direcciones arbitrarias y rangos de puertos. Masscan utiliza una pila TCP/IP personalizada y eso significa que cualquier cosa que no sea escaneo de puertos simples causará una variación en la pila TCP/IP local. Esto significa que usted tiene que utilizar la opción -S para utilizar una dirección IP independiente, o configurar su sistema operativo para usar un cortafuegos en los puertos que Masscan usa.
Aunque Linux es la plataforma principal para esa herramienta, el código funciona bien en muchos otros sistemas como:
• Windows w/ Visual Studio
• Windows w/ MingGW
• Windows w/ cygwin
• Mac OS X /w XCode
• Mac OS X /w cmdline
• FreeBSD
Para ir más allá de 2 millones de paquetes por segundo, necesitará un adaptador de Ethernet de 10 gbps de Intel y un driver especial conocido como “PF_RING ADN”. Masscan no necesita ser reconstruido con el fin de utilizar PF_RING. Para utilizar PF_RING, es necesario construir los siguientes componentes:
• libpfring.so (instalado en /usr/lib/libpfring.so)
• pf_ring.ko (su controlador de kernel)
• ixgbe.ko (su versión del controlador de Ethernet de 10 gbps de Intel)
Masscan puede hacer otras cosas además de detectar si los puertos están abiertos, explican expertos de servicios de seguridad informática. También puede completar la conexión TCP y la interacción con la aplicación en dicho puerto con el fin de agarrar la información de “banner”. El problema con esto es que Masscan contiene su propia pila TCP / IP separada del sistema en el que se ejecuta. Cuando el sistema local recibe un SYN-ACK desde el objetivo, responde con un paquete RST que mata la conexión antes de que Masscan pueda agarrar un banner. La forma más fácil de evitar esto es asignarle a Masscan una dirección IP independiente.

Cómo escanear todo Internet
Mientras que es útil para redes más pequeñas y redes internas, el programa está diseñado realmente con todo Internet en mente

# masscan 0.0.0.0/0 -p0-65535

El escaneo de todo el Internet es malo. Por un lado, las partes de Internet reaccionan mal a ser analizadas. Por otro lado, algunos sitios siguen los escaneos y suman su IP a una lista de prohibiciones, que le llevará, a cortafuegos de partes útiles del Internet. Por lo tanto, recomendamos excluir una gran cantidad de rangos. Para la lista negra o excluir rangos, puede utilizar la siguiente sintaxis:

# masscan 0.0.0.0/0 -p0-65535 –excludefile exclude.txt

Scanrand

Scanrand es un escáner de puerto de alta velocidad y route-tracer explica el profesor de hacking ético del International Institute of Cyber Security. Su alta eficiencia en la exploración se encuentra en su esquema de trabajo en particular. Es un escáner de red rápido que puede escanear desde hosts individuales hasta redes muy grandes de manera eficiente. Scanrand puede hacer lo que se llama el escaneo TCP sin estado, que lo distingue de los otros escáneres de red. Scanrand toma un enfoque un poco diferente del escáner de red típico. Se Implementa la ideología  “dispara y olvida”  para escanear mezclando un poco de matemáticas.

Scanrand se divide sí en dos procesos. Un proceso es responsable de hacer nada más que el envío de paquetes SYN usando libnet. El otro proceso es responsable de recibir las respuestas de los equipos remotos enviados utilizando libpcap. Una cosa importante a tener en cuenta es que estos procesos funcionan de forma independiente. No hay consultas con el otro proceso como “¿Usted envía este paquete?” o, “¿ Esto es un paquete válido?” Scanrand guarda la lista de direcciones IP que están esperando una respuesta y el proceso de envío no espera una respuesta en absoluto. Se dispara un SYN, y luego pasa a la siguiente computadora dejando el proceso de recepción para resolver la avalancha de las respuestas.

Unicornscan
Unicornscan es una herramienta de código abierto (GPL) diseñada para ayudar en la recopilación de información y auditoría de seguridad. No se puede negar que Nmap establece el estándar para la exploración de puertos en Windows y sistemas UNIX. Sin embargo su escaneo UDP y TCP (65k puertos) tardan mucho tiempo en terminar. Hay otro escáner que sobresale en velocidad; Unicornscan es un escáner de puertos asincrónico sin estado que implementa su propia pila TCP / IP. Unicornscan pasa los puertos que se encuentra a Nmap y / o Amap para seguir con  el análisis.

Mejores Prácticas de Escaneo
Expertos de servicios de auditoría de seguridad informática ofrecen estas sugerencias para los investigadores que realizan escaneos en todo el Internet como directrices para la buena ciudadanía de Internet.
• Coordinar con los administradores de redes locales para reducir los riesgos.
• Verifique que los escaneos no abrumar a la red local o el proveedor de internet.
• Señalan la razón de los escaneos en las páginas web y entradas de DNS de las direcciones del origen.
• Explicar con claridad el objetivo y el alcance de los escaneos en todas las comunicaciones.
• Proporcionar un medio simple de la exclusión voluntaria y honrar las solicitudes con prontitud.
• Llevar a cabo las exploraciones no más grande o más frecuente de lo que es necesario para los objetivos de investigación.
• Difundir el tráfico de exploración sobre las direcciones y tiempo cuando sea posible.
No hace falta decir que los investigadores de escaneos deben abstenerse de explotar vulnerabilidades o acceder a los recursos protegidos, así como deben cumplir con todos los requisitos legales específicos en sus jurisdicciones.

Los problemas de seguridad y problemas éticos

Como de costumbre, la capacidad de descubrir casi instantáneamente las redes y computadoras que tienen vulnerabilidades de seguridad puede ser algo bueno para los investigadores de sombrero blanco, pero también puede ser utilizado para un un mal motivo por los hackers. Estas son seguramente buenas herramientas y probablemente serán adoptadas por muchos investigadores. Sin embargo, estos poderosos escáneres de Internet podrían ser utilizados por los hackers para actividades maliciosas como la detección y la explotación de vulnerabilidades. La única cosa que un atacante necesita es una máquina potente y una red con buen ancho de banda. Hoy en día, estos requisitos se pueden satisfacer fácilmente mediante el lanzamiento de una máquina virtual en la nube. La existencia de estas herramientas demuestra también que la ventana de tiempo entre la presencia de vulnerabilidad y su detección por los hackers es corta día a día. Por esta razón, es importante asegurar adecuadamente su propia infraestructura.

Los profesores de hacking ético recomiendan que estas herramientas sean usadas con cuidado, sin invadir la privacidad de otra persona porque cualquiera puede usarlos.