原理PPT:
zmap-talk-sec13.pdf
(607.54 KB, 下載次數(shù): 250)
2013-12-25 21:53 上傳
點(diǎn)擊文件名下載附件
[導(dǎo)讀]在擁有這種工具以后�����,人們將可迅速掃描整個(gè)互聯(lián)網(wǎng)����,為互聯(lián)網(wǎng)研究工作開辟了一些新可能性。 ![]()
騰訊科技 瑞雪 8月20日編譯 直到最近為止���,對(duì)擁有數(shù)之不盡的獨(dú)立地址的互聯(lián)網(wǎng)進(jìn)行整體掃描還是一種非常緩慢而“勞動(dòng)密集型”的過程���。舉例來說,在2010年電子前沿基金會(huì)(Electronic Frontier Foundation)曾進(jìn)行過一次掃描���,想要搜集有關(guān)加密技術(shù)在線使用量的數(shù)據(jù)���。其結(jié)果是,這一過程足足花了兩三個(gè)月時(shí)間����。 據(jù)《華盛頓郵報(bào)》網(wǎng)站下屬博客站點(diǎn)The Switch報(bào)道��,由密歇根大學(xué)研究人員組成的一個(gè)團(tuán)隊(duì)覺得�����,他們?cè)谶@一方面能做得更好�����;事實(shí)上�����,應(yīng)該說是好得多����。在周五于華盛頓召開的Usenix國(guó)際安全研討會(huì)上�,這個(gè)團(tuán)隊(duì)宣布推出了一種名為“ZMap”的工具,這種工具能令一臺(tái)普通的服務(wù)器在短短44分鐘時(shí)間里掃描互聯(lián)網(wǎng)上的每一個(gè)地址���。 電子前沿基金會(huì)的團(tuán)隊(duì)在2010年所使用的是一種名為“Nmap”的工具����,這個(gè)工具會(huì)向一臺(tái)主機(jī)發(fā)出請(qǐng)求��,隨后等待接到請(qǐng)求的主機(jī)作出回應(yīng)�����。這些請(qǐng)求可以并行操作����,但為每一個(gè)未得到回復(fù)的請(qǐng)求保留相關(guān)記錄仍舊會(huì)帶來大量的工作,從而拖緩掃描互聯(lián)網(wǎng)的進(jìn)程�����。 與此相比���,ZMap則是一種“無狀態(tài)”的工具���;也就是說,這種工具會(huì)向服務(wù)器發(fā)出請(qǐng)求���,然后就“忘記”這些請(qǐng)求���。ZMap不會(huì)保留未獲回復(fù)請(qǐng)求的清單,而是在傳出的數(shù)據(jù)包中對(duì)識(shí)別信息進(jìn)行編碼���,這樣一來該工具就能對(duì)回復(fù)進(jìn)行鑒別���。 這種方法擁有巨大的優(yōu)勢(shì)��,意味著Zmap輸出數(shù)據(jù)包的速度比Nmap高出1000倍以上����。因此��,用Nmap對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行掃描需要花費(fèi)幾個(gè)星期時(shí)間�,而使用ZMap這種工具則只需要44分鐘。 在擁有這種工具以后����,人們將可迅速掃描整個(gè)互聯(lián)網(wǎng),而且費(fèi)用也不高�����,這就為針對(duì)整個(gè)互聯(lián)網(wǎng)的研究工作開辟了一些令人深深著迷的新可能性����。密歇根大學(xué)的團(tuán)隊(duì)利用這種新工具做了許多有趣的事情,以下列出的是其中的一部分。 日益加密的網(wǎng)絡(luò) 現(xiàn)在����,越來越多的網(wǎng)站正在使用網(wǎng)絡(luò)基本協(xié)議的加密HTTPS版本。那么��,企業(yè)組織正在以多快的速度作出這種轉(zhuǎn)變呢����?在以前��,哪怕只是對(duì)這個(gè)問題作出一種簡(jiǎn)單的估測(cè)也會(huì)是個(gè)緩慢而代價(jià)高昂的過程�;但在今天,ZMap不僅能在一個(gè)小時(shí)以內(nèi)就對(duì)這個(gè)問題作出回答���,而且還能通過定期掃描的方式來追蹤HTTPS人氣度隨時(shí)間推移而上升的程度��。 密歇根大學(xué)的研究人員利用ZMap工具進(jìn)行追蹤研究后發(fā)現(xiàn)����,在過去一年時(shí)間里�,排名前100萬名的網(wǎng)站對(duì)于HTTPS的使用量(如下圖中紅線所示)已經(jīng)增長(zhǎng)了23%左右,而HTTPS的整體數(shù)量(如下圖中的藍(lán)線所示)則已經(jīng)增長(zhǎng)了將近20%���。 ![]()
颶風(fēng)會(huì)對(duì)互聯(lián)網(wǎng)造成怎樣的損害 當(dāng)重大的自然災(zāi)害來襲時(shí)����,電腦可能會(huì)被迫斷開網(wǎng)絡(luò)連接,而使用ZMap工具則可對(duì)自然災(zāi)害令互聯(lián)網(wǎng)受損的程度作出測(cè)量���。 在去年10月29日到31日之間���,也就是桑迪颶風(fēng)(Hurricane Sandy)橫掃美國(guó)東海岸的那段時(shí)間里,密歇根大學(xué)的研究團(tuán)隊(duì)每隔兩個(gè)小時(shí)就會(huì)對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行一次掃描�����。通過將IP地址與地理位置聯(lián)系起來的方式���,研究人員能對(duì)哪些地區(qū)的網(wǎng)絡(luò)服務(wù)中斷情況最為嚴(yán)重進(jìn)行觀察���。下面這張地圖所顯示的就是“收聽主機(jī)數(shù)量減少30%以上的位置”。 ![]()
颶風(fēng)來臨時(shí)對(duì)互聯(lián)網(wǎng)進(jìn)行掃描���,來判斷受損區(qū)域(騰訊科技配圖) 互聯(lián)網(wǎng)的睡眠周期 在掃描整個(gè)互聯(lián)網(wǎng)需要耗時(shí)幾個(gè)星期的時(shí)期��,何時(shí)開始啟動(dòng)一次掃描并沒有什么意義����;但是,當(dāng)掃描過程只需要不到一個(gè)小時(shí)就能完成時(shí)�,何時(shí)開始掃描就變得很有意義了。那么�����,何時(shí)開始進(jìn)行一次全網(wǎng)掃描才是最好的時(shí)機(jī)呢�����? 為了回答這個(gè)問題��,密歇根大學(xué)的研究人員在一天中的不同時(shí)刻進(jìn)行了掃描�����,然后觀察自己能獲得多少回復(fù)����。以下是他們的研究結(jié)果: 對(duì)于以上圖表所顯示的模式���,或許有兩個(gè)理由能作為解釋����。有一種可能性是,有些在線服務(wù)僅在一天中的某些特定時(shí)段開放����。但是,可能性更高的一種解釋則與網(wǎng)絡(luò)堵塞有關(guān)�����。在默認(rèn)狀態(tài)下����,ZMap只會(huì)向每個(gè)主機(jī)發(fā)出一個(gè)數(shù)據(jù)包;如果數(shù)據(jù)包是在網(wǎng)絡(luò)流量擁堵的高峰時(shí)段發(fā)出的�����,那么這個(gè)數(shù)據(jù)包(或是接收數(shù)據(jù)包的主機(jī)所作出的回應(yīng))丟失的可能性就會(huì)變得更高����。 ![]()
掃描睡眠周期(騰訊科技配圖) 從密歇根大學(xué)的研究報(bào)告來看,在任何情況之下��,對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行掃描的最好時(shí)段都是凌晨���,而最壞的時(shí)段則是傍晚�����。 分布廣泛的安全漏洞 安全研究人員總是能在現(xiàn)有的軟件里找到安全漏洞����,從而迫使廠商迅速發(fā)布補(bǔ)丁來加以修復(fù)。但是�,用戶在實(shí)際生活中要花多長(zhǎng)時(shí)間才會(huì)真正使用補(bǔ)丁來修復(fù)安全漏洞呢?ZMap提供了一種迅速而有效的方法來對(duì)此作出測(cè)量����。 密歇根大學(xué)的研究團(tuán)隊(duì)進(jìn)行了一次實(shí)驗(yàn)�����,針對(duì)今年早些時(shí)候在所謂的“通用即插即用”(Universal Plug and Play)技術(shù)中被發(fā)現(xiàn)的一個(gè)重大漏洞對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行了掃描��。在這個(gè)漏洞曝露以后的兩個(gè)星期時(shí)間里��,研究人員進(jìn)行了全網(wǎng)掃描以追蹤有多少主機(jī)沒有升級(jí)�����。其結(jié)果是,在研究人員所追蹤的1570萬部“通用即插即用”設(shè)備中��,有256萬部沒有升級(jí)����,在總數(shù)中所占比例為16.7%。 在另一次實(shí)驗(yàn)中�,研究人員則針對(duì)存在兩個(gè)問題(這兩個(gè)問題分別是在2008年和2011年被發(fā)現(xiàn)的)之一的加密密鑰進(jìn)行了全網(wǎng)掃描。以下圖表所顯示的是�,研究人員在2012年6月份到2013年6月份之間反復(fù)進(jìn)行的掃描的結(jié)果。 ![]()
從這張圖表來看�,“通用即插即用”設(shè)備進(jìn)行升級(jí)的情況在某種程度上令人感到鼓舞。僅有很小一部分的加密密鑰受到了兩個(gè)漏洞中某一個(gè)的影響����;在兩個(gè)案例中,受攻擊加密密鑰的數(shù)量均已呈現(xiàn)出下降的趨勢(shì)���。不過��,在“Debian弱密鑰”(Debian weak key)案例中仍有2743個(gè)主機(jī)受到了攻擊���,而在“可分解因子RSA密鑰”(factorable RSA keys)案例中則有4.46萬個(gè)主機(jī)受到了攻擊。 ZMap迅速找到電腦安全漏洞的能力可能是件好事����,前提是這個(gè)工具能讓富有道德責(zé)任感的安全研究人員和軟件廠商找到漏洞��,并在信息傳遞給普通大眾以前就提前向系統(tǒng)管理員發(fā)出通知��。 但與此同時(shí)�����,ZMap也能被用來干壞事��。一名心懷惡意的黑客可以利用這種工具來迅速發(fā)現(xiàn)有漏洞尚未修復(fù)的電腦���,并迅速地入侵這些電腦,從而在短短幾個(gè)小時(shí)時(shí)間里創(chuàng)造數(shù)以百萬計(jì)的所謂“僵尸網(wǎng)絡(luò)”����。
| 
免費(fèi)注冊(cè)
發(fā)表于 2013-08-20 12:46
