Пинг всего интернета: первые результаты

Что будет, если пропинговать все IP-адреса в интернете? Хакеры из компании Security A(r)tWork решили поставить такой эксперимент и посмотреть, что получится.

Они запустили два потока: первый отправлял к каждому IP-адресу запрос ICMP echo, а второй записывал ответы. Такой метод позволил работать спокойно, без особой нагрузки на сервер, а запросы ICMP echo были выбраны как самые невинные, чтобы не создавать проблем окружающим. При этом сканировались все адреса подряд, в том числе частные и закрытые сети.

После 10 часов работы были получены следующие результаты: на пинг ответили 284 401 158 адресов, то есть около 7% всех систем. Если сгруппировать результаты по блокам /8, то процент ответивших систем сильно отличается в каждом из них. Во многих отклик 0,00%, например, в блоках 3.X.X.X, 6.X.X.X, 9.X.X.X и 11.X.X.X, которые принадлежат компании General Electric Company, армии США, компании IBM и Министерству обороны США, соответственно. В других же блоках наблюдается очень высокая активность.

Вот список блоков, откуда пришло больше всего ответов («понгов»): ответили более 22% адресов.

Общие результаты представлены на диаграмме.

Результат сканирования подтверждает заявления IANA о резервировании отдельных блоков /8. Действительно, там не замечено никакой активности.

В то же время эксперимент показывает, насколько маленьким является адресное пространство IPv4: кто угодно может просканировать его целиком за полдня. Причём потенциальный злоумышленник может использовать пакеты UDP и попытаться провести какую-нибудь атаку.

Эксперимент принёс ещё один любопытный результат: один из опрошенных серверов, получив запрос, присылал ответы (pong) несколько часов подряд. Исследователям так и не удалось понять, что стало причиной странного явления.

В будущем исследователи Security A(r)tWork намерены опубликовать дополнительные результаты. В любом случае, они извиняются перед всеми, кого побеспокоили.

Кстати, известный хакер HD Moore периодически проводит подобные сканы всего интернета, причём гораздо более жёсткие по TCP и UDP, и он нашёл много интересного: например, около 300 IIS-серверов, которые постоянно отдают одинаковые cookies на каждую сессию, семь серверов Windows NT 3.5.1 с открытым SNMP и многое другое (см. запись презентации на видео).