Escanear Internet en menos de 5 minutos con ZMap

Detalles

ZMap es un escáner de red open source que permite a investigadores realizar estudios de red a nivel Internet de forma simple. Con sólo una simple computadora y un buen uplink a Internet, ZMap es capaz de realizar un escaneo completo del espacio de direcciones IPv4 en menos de 5 minutos, aproximándose al límite teórico de 10 Gigabit Ethernet. ZMap puede ser utilizado para estudiar la adopción de protocolos a lo largo del tiempo, monitorear la disponibilidad de servicios, y ayudar a entender mejor grandes sistemas distribuidos a lo largo de Internet. Está disponible un paper que explica en detalle la arquitectura del escáner, realiza una comparación con nmap, e incluye una guía de buenas prácticas a la hora de llevar a cabo experimentos con esta herramienta (cómo ser un buen ciudadano de Internet).



Este artículo explica cómo compilar ZMap desde sus fuentes y está orientado a sistemas FreeBSD, aunque el procedimiento es exactamente igual en sistemas GNU/Linux.

El código fuente de ZMap está hospedado en GitHub, entonces, el primer paso consiste en clonar una copia del repositorio en nuestro sistema local:

# git clone https://github.com/zmap/zmap.git

Al finalizar la descarga se crea el directorio "zmap":

cd zmap/

El proceso de compilación e instalación es trivial y se encuentra documentado en el archivo "INSTALL":

# less INSTALL

Configurar el paquete utilizando cmake:

root@hal9000:/usr/home/emi/packages/zmap # cmake ./
-- The C compiler identification is Clang 3.4.1
-- Check for working C compiler: /usr/bin/cc
-- Check for working C compiler: /usr/bin/cc -- works
-- Detecting C compiler ABI info
-- Detecting C compiler ABI info - done
-- Detecting C compile features
-- Detecting C compile features - done
-- Found PkgConfig: /usr/local/bin/pkg-config (found version "0.28") 
-- checking for module 'json-c'
--   package 'json-c' not found
CMake Error at CMakeLists.txt:71 (message):
  Did not find libjson


-- Configuring incomplete, errors occurred!
See also "/usr/home/emi/packages/zmap/CMakeFiles/CMakeOutput.log".

En caso de errores, instalar las dependencias faltantes, en este caso json-c:

pkg install json-c

Volver a configurar hasta que no arroje errores de dependencias:

root@hal9000:/usr/home/emi/packages/zmap # cmake ./
-- checking for module 'json-c'
--   found json-c, version 0.12
-- Configuring done
-- Generating done
-- Build files have been written to: /usr/home/emi/packages/zmap

Luego simplemente compilar e instalar:

make

make install

EL paquete no incluye una página de manual, pero es posible obtener ayuda ejecutando zmap --help:

root@hal9000:/usr/home/emi/packages/zmap # zmap --help
zmap 2.1.0-RC1

A fast Internet-wide scanner.

Usage: zmap [OPTIONS]... [SUBNETS]...

Basic arguments:
  -p, --target-port=port        port number to scan (for TCP and UDP scans)
  -o, --output-file=name        Output file
  -b, --blacklist-file=path     File of subnets to exclude, in CIDR notation,
                                  e.g. 192.168.0.0/16
  -w, --whitelist-file=path     File of subnets to constrain scan to, in CIDR
                                  notation, e.g. 192.168.0.0/16

Scan options:
  -r, --rate=pps                Set send rate in packets/sec
  -B, --bandwidth=bps           Set send rate in bits/second (supports suffixes
                                  G, M and K)
  -n, --max-targets=n           Cap number of targets to probe (as a number or
                                  a percentage of the address space)
  -t, --max-runtime=ses         Cap length of time for sending packets
  -N, --max-results=n           Cap number of results to return
  -P, --probes=n                Number of probes to send to each IP
                                  (default=`1')
  -c, --cooldown-time=secs      How long to continue receiving after sending
                                  last probe  (default=`8')
  -e, --seed=n                  Seed used to select address permutation
      --retries=n               Max number of times to try to send packet if
                                  send fails  (default=`10')
  -d, --dryrun                  Don't actually send packets
      --shards=N                Set the total number of shards  (default=`1')
      --shard=n                 Set which shard this scan is (0 indexed)
                                  (default=`0')

Network options:
  -s, --source-port=port|range  Source port(s) for scan packets
  -S, --source-ip=ip|range      Source address(es) for scan packets
  -G, --gateway-mac=addr        Specify gateway MAC address
      --source-mac=addr         Source MAC address
  -i, --interface=name          Specify network interface to use
  -X, --vpn                     Sends IP packets instead of Ethernet (for VPNs)

Probe Modules:
  -M, --probe-module=name       Select probe module  (default=`tcp_synscan')
      --probe-args=args         Arguments to pass to probe module
      --list-probe-modules      List available probe modules

Data Output:
  -f, --output-fields=fields    Fields that should be output in result set
  -O, --output-module=name      Select output module  (default=`default')
      --output-args=args        Arguments to pass to output module
      --output-filter=filter    Specify a filter over the response fields to
                                  limit what responses get sent to the output
                                  module
      --list-output-modules     List available output modules
      --list-output-fields      List all fields that can be output by selected
                                  probe module

Logging and Metadata:
  -v, --verbosity=n             Level of log detail (0-5)  (default=`3')
  -l, --log-file=name           Write log entries to file
  -L, --log-directory=directory Write log entries to a timestamped file in this
                                  directory
  -m, --metadata-file=name      Output file for scan metadata (JSON)
  -u, --status-updates-file=name
                                Write scan progress updates to CSV file
  -q, --quiet                   Do not print status updates
      --disable-syslog          Disables logging messages to syslog
      --notes=notes             Inject user-specified notes into scan metadata
      --user-metadata=json      Inject user-specified JSON metadata into scan
                                  metadata

Additional options:
  -C, --config=filename         Read a configuration file, which can specify
                                  any of these options
                                  (default=`/etc/zmap/zmap.conf')
      --max-sendto-failures=n   Maximum NIC sendto failures before scan is
                                  aborted  (default=`-1')
      --min-hitrate=n           Minimum hitrate that scan can hit before scan
                                  is aborted  (default=`0.0')
  -T, --sender-threads=n        Threads used to send packets  (default=`1')
      --cores=STRING            Comma-separated list of cores to pin to
      --ignore-invalid-hosts    Ignore invalid hosts in whitelist/blacklist
                                  file
  -h, --help                    Print help and exit
  -V, --version                 Print version and exit

Examples:
    zmap -p 80 (scan the Internet for hosts on tcp/80 and output to stdout)
    zmap -N 5 -B 10M -p 80 (find 5 HTTP servers, scanning at 10 Mb/s)
    zmap -p 80 10.0.0.0/8 192.168.0.0/16 -o (scan both subnets on tcp/80)
    zmap -p 80 1.2.3.4 10.0.0.3 (scan 1.2.3.4, 10.0.0.3 on tcp/80)

Probe-module (tcp_synscan) Help:
Probe module that sends a TCP SYN packet to a specific port. Possible 
classifications are: synack and rst. A SYN-ACK packet is considered a success 
and a reset packet is considered a failed response.

Output-module (csv) Help:
By default, ZMap prints out unique, successfulIP addresses (e.g., SYN-ACK from 
a TCP SYN scan) in ASCII form (e.g., 192.168.1.5) to stdout or the specified 
output file. Internally this is handled by the "csv" output module and is 
equivalent to running zmap --output-module=csv --output-fields=saddr 
--output-filter="success = 1 && repeat = 0".

Se observa que las opciones son simples y están muy bien detalladas.

A modo de prueba, se me ocurrió escanear todos los puertos 80 abiertos escuchando peticiones dentro de mi red de trabajo:

root@hal9000:/usr/home/emi/packages/zmap # zmap -i em0 -p 80 192.168.100.0/20 -o ~/scan80.txt
Aug 19 10:59:12.103 [WARN] blacklist: ZMap is currently using the default blacklist located at /etc/zmap/blacklist.conf. By default, this blacklist excludes locally scoped networks (e.g. 10.0.0.0/8, 127.0.0.1/8, and 192.168.0.0/16). If you are trying to scan local networks, you can change the default blacklist by editing the default ZMap configuration at /etc/zmap/zmap.conf.
Aug 19 10:59:12.109 [INFO] zmap: output module: csv
 0:00 0%; send: 0 0 p/s (0 p/s avg); recv: 0 0 p/s (0 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 0.00%
 0:01 13%; send: 4096 done (291 Kp/s avg); recv: 156 155 p/s (154 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 3.81%
 0:02 25%; send: 4096 done (291 Kp/s avg); recv: 158 1 p/s (78 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 3.86%
 0:03 38%; send: 4096 done (291 Kp/s avg); recv: 160 1 p/s (53 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 3.91%
 0:04 50%; send: 4096 done (291 Kp/s avg); recv: 160 0 p/s (39 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 3.91%
 0:05 63% (3s left); send: 4096 done (291 Kp/s avg); recv: 160 0 p/s (31 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 3.91%
 0:06 75% (2s left); send: 4096 done (291 Kp/s avg); recv: 161 0 p/s (26 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 3.93%
 0:07 88% (1s left); send: 4096 done (291 Kp/s avg); recv: 161 0 p/s (22 p/s avg); drops: 0 p/s (0 p/s avg); hitrate: 3.93%
Aug 19 10:59:20.147 [INFO] zmap: completed

Con el parámetro -i se especifica una interfaz Ethernet de salida a Internet, -p indica el puerto a testear y con -o el nombre del archivo de salida. El parámetro restante consiste en las subredes a escanear.

Se observa que en apenas 8 segundos escaneó los puertos 80 de todas las direcciones IP de una subred con máscara 20, loo que equivale a 16 redes clase C (más de 4000 direcciones IPv4).

El archivo de salida posee una línea por cada dirección IP que acepta peticiones en el puerto especificado (en este caso el 80):

root@hal9000:/usr/home/emi/packages/zmap # head ~/scan80.txt
192.168.100.54
192.168.100.233
192.168.101.38
192.168.100.127
192.168.101.171
192.168.102.10
192.168.100.224
192.168.101.173
192.168.101.188
192.168.100.120

En total encontró 161 direcciones IPv4 escuchando pedidos en el puerto 80:

root@hal9000:/usr/home/emi/packages/zmap # wc -l scan80.txt 
     161 scan80.txt

Es claro que esta herramienta es muchísimo más limitada que Nmap en cuanto a funcionalidades respecta. Cabe destacar que Nmap está orientada a tareas específicas de seguridad informática y administración de sistemas, mientras que ZMap está optimizada para alcanzar la máxima velocidad posible, es decir, minimizar el tiempo de escaneo.

(Nunca he escrito un artículo dedicado a Nmap, una de mis herramientas favoritas. Algún día lo haré, me desmotiva un poco que existan millones de artículos al respecto.)

A pesar de que ZMap es una herramienta poderosa para investigadores, se debe tener en cuenta que, al correr ZMap, se está escaneando potencialmente todo el espacio de direcciones IPv4. Muchos usuarios (administradores de sistemas en particular) pueden no apreciar dicho comportamiento. Los usuarios de ZMap deben honrar las solicitudes de detención de escaneo y excluir las redes involucradas en futuros escaneos. Además es recomendable notificar a los administradores de los nodos de red locales antes de ejecutar escaneos sobre subredes externas, ya que esto puede traer consecuencias negativas en lo que respecta a spam, malware y listas negras de direcciones IP.

Referencias

ZMap Internet Scanner

ZMap on GitHub

ZMap Documentation


Tal vez pueda interesarte


Compartí este artículo