直到最近為止，對(duì)擁有數(shù)之不盡的獨(dú)立地址的互聯(lián)網(wǎng)進(jìn)行整體掃描還是一種非常緩慢而“勞動(dòng)密集型”的過(guò)程。舉例來(lái)說(shuō)，有人曾使用nmap進(jìn)行過(guò)一次掃描，想要搜集有關(guān)加密技術(shù)在線使用量的數(shù)據(jù)。其結(jié)果是，這一過(guò)程足足花了兩三個(gè)月時(shí)間。

密歇根大學(xué)研究人員覺(jué)得，他們?cè)谶@一方面能做得更好;事實(shí)上，應(yīng)該說(shuō)是好得多。在周五于華盛頓召開(kāi)的Usenix國(guó)際安全研討會(huì)上，他們宣布推出了一種名為“ZMap”的工具，這種工具能令一臺(tái)普通的服務(wù)器在短短44分鐘時(shí)間里掃描互聯(lián)網(wǎng)上的每一個(gè)地址。

2010年有人曾所使用的是一種名為“Nmap”的工具，這個(gè)工具會(huì)向一臺(tái)主機(jī)發(fā)出請(qǐng)求，隨后等待接到請(qǐng)求的主機(jī)作出回應(yīng)。這些請(qǐng)求可以并行操作，但為每一個(gè)未得到回復(fù)的請(qǐng)求保留相關(guān)記錄仍舊會(huì)帶來(lái)大量的工作，從而拖緩掃描互聯(lián)網(wǎng)的進(jìn)程。

那為什么ZMap可以在一個(gè)小時(shí)內(nèi)掃遍整個(gè)互聯(lián)網(wǎng)呢?與nmap相比，ZMap則是一種“無(wú)狀態(tài)”的工具;也就是說(shuō)，這種工具會(huì)向服務(wù)器發(fā)出請(qǐng)求，然后就“忘記”這些請(qǐng)求。ZMap不會(huì)保留未獲回復(fù)請(qǐng)求的清單，而是在傳出的數(shù)據(jù)包中對(duì)識(shí)別信息進(jìn)行編碼，這樣一來(lái)該工具就能對(duì)回復(fù)進(jìn)行鑒別。

傳統(tǒng)上的TCP/IP需要“三次握手”報(bào)文交互，在此期間需要維持記錄著與對(duì)方交互的狀態(tài)。這種狀態(tài)記錄量是巨大的，占用內(nèi)存和CPU資源很大。ZMap在掃描時(shí)索性就不進(jìn)行三次握手，只進(jìn)行第一個(gè)SYN，然后等待對(duì)方回復(fù)SYN-ACK，之后即RST取消連接。這樣肯定會(huì)因網(wǎng)絡(luò)原因丟失一定比例的數(shù)據(jù)，根據(jù)其實(shí)驗(yàn)，這個(gè)比例在2%左右。

關(guān)鍵性的問(wèn)題出現(xiàn)在對(duì)回復(fù)的SYN-ACK進(jìn)行seq number的校驗(yàn)。傳統(tǒng)上就需要記錄狀態(tài)。而ZMap是將對(duì)方receiver ip地址進(jìn)行hash，將其處理保存到了sender port和seq number兩個(gè)字段中，當(dāng)SYN-ACK回來(lái)的時(shí)候，就可以根據(jù)sender ip、receiver port、ack number這些字段進(jìn)行校驗(yàn)。因此避免了狀態(tài)存儲(chǔ)，接近了網(wǎng)絡(luò)帶寬極限。 

 

這種方法擁有巨大的優(yōu)勢(shì)，意味著Zmap輸出數(shù)據(jù)包的速度比Nmap高出1000倍以上。因此，用Nmap對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行掃描需要花費(fèi)幾個(gè)星期時(shí)間，而使用ZMap這種工具則只需要44分鐘。

在擁有這種工具以后，人們將可迅速掃描整個(gè)互聯(lián)網(wǎng)，而且費(fèi)用也不高，這就為針對(duì)整個(gè)互聯(lián)網(wǎng)的研究工作開(kāi)辟了一些令人深深著迷的新可能性。

那么ZMap的誕生對(duì)我們又有什么益處呢，密歇根大學(xué)的研究人員用它做了幾次實(shí)驗(yàn)：

日益加密的網(wǎng)絡(luò)

現(xiàn)在，越來(lái)越多的網(wǎng)站正在使用網(wǎng)絡(luò)基本協(xié)議的加密HTTPS版本。那么，企業(yè)組織正在以多快的速度作出這種轉(zhuǎn)變呢?在以前，哪怕只是對(duì)這個(gè)問(wèn)題作出 一種簡(jiǎn)單的估測(cè)也會(huì)是個(gè)緩慢而代價(jià)高昂的過(guò)程;但在今天，ZMap不僅能在一個(gè)小時(shí)以?xún)?nèi)就對(duì)這個(gè)問(wèn)題作出回答，而且還能通過(guò)定期掃描的方式來(lái)追蹤 HTTPS人氣度隨時(shí)間推移而上升的程度。

密歇根大學(xué)的研究人員利用ZMap工具進(jìn)行追蹤研究后發(fā)現(xiàn)，在過(guò)去一年時(shí)間里，排名前100萬(wàn)名的網(wǎng)站對(duì)于HTTPS的使用量(如下圖中紅線所示)已經(jīng)增長(zhǎng)了23%左右，而HTTPS的整體數(shù)量(如下圖中的藍(lán)線所示)則已經(jīng)增長(zhǎng)了將近20%。

颶風(fēng)會(huì)對(duì)互聯(lián)網(wǎng)造成怎樣的損害

當(dāng)重大的自然災(zāi)害來(lái)襲時(shí)，電腦可能會(huì)被迫斷開(kāi)網(wǎng)絡(luò)連接，而使用ZMap工具則可對(duì)自然災(zāi)害令互聯(lián)網(wǎng)受損的程度作出測(cè)量。

在去年10月29日到31日之間，也就是桑迪颶風(fēng)(Hurricane Sandy)橫掃美國(guó)東海岸的那段時(shí)間里，密歇根大學(xué)的研究團(tuán)隊(duì)每隔兩個(gè)小時(shí)就會(huì)對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行一次掃描。通過(guò)將IP地址與地理位置聯(lián)系起來(lái)的方式，研 究人員能對(duì)哪些地區(qū)的網(wǎng)絡(luò)服務(wù)中斷情況最為嚴(yán)重進(jìn)行觀察。下面這張地圖所顯示的就是“收聽(tīng)主機(jī)數(shù)量減少30%以上的位置”。

 

颶風(fēng)來(lái)臨時(shí)對(duì)互聯(lián)網(wǎng)進(jìn)行掃描，來(lái)判斷受損區(qū)域

互聯(lián)網(wǎng)的睡眠周期

在掃描整個(gè)互聯(lián)網(wǎng)需要耗時(shí)幾個(gè)星期的時(shí)期，何時(shí)開(kāi)始啟動(dòng)一次掃描并沒(méi)有什么意義;但是，當(dāng)掃描過(guò)程只需要不到一個(gè)小時(shí)就能完成時(shí)，何時(shí)開(kāi)始掃描就變得很有意義了。那么，何時(shí)開(kāi)始進(jìn)行一次全網(wǎng)掃描才是最好的時(shí)機(jī)呢?

為了回答這個(gè)問(wèn)題，密歇根大學(xué)的研究人員在一天中的不同時(shí)刻進(jìn)行了掃描，然后觀察自己能獲得多少回復(fù)。以下是他們的研究結(jié)果：

對(duì)于以上圖表所顯示的模式，或許有兩個(gè)理由能作為解釋。有一種可能性是，有些在線服務(wù)僅在一天中的某些特定時(shí)段開(kāi)放。但是，可能性更高的一種解釋則 與網(wǎng)絡(luò)堵塞有關(guān)。在默認(rèn)狀態(tài)下，ZMap只會(huì)向每個(gè)主機(jī)發(fā)出一個(gè)數(shù)據(jù)包;如果數(shù)據(jù)包是在網(wǎng)絡(luò)流量擁堵的高峰時(shí)段發(fā)出的，那么這個(gè)數(shù)據(jù)包(或是接收數(shù)據(jù)包的 主機(jī)所作出的回應(yīng))丟失的可能性就會(huì)變得更高。

 

掃描睡眠周期

從密歇根大學(xué)的研究報(bào)告來(lái)看，在任何情況之下，對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行掃描的最好時(shí)段都是凌晨，而最壞的時(shí)段則是傍晚。

分布廣泛的安全漏洞

安全研究人員總是能在現(xiàn)有的軟件里找到安全漏洞，從而迫使廠商迅速發(fā)布補(bǔ)丁來(lái)加以修復(fù)。但是，用戶(hù)在實(shí)際生活中要花多長(zhǎng)時(shí)間才會(huì)真正使用補(bǔ)丁來(lái)修復(fù)安全漏洞呢?ZMap提供了一種迅速而有效的方法來(lái)對(duì)此作出測(cè)量。

密歇根大學(xué)的研究團(tuán)隊(duì)進(jìn)行了一次實(shí)驗(yàn)，針對(duì)今年早些時(shí)候在所謂的“通用即插即用”(Universal Plug and Play)技術(shù)中被發(fā)現(xiàn)的一個(gè)重大漏洞對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行了掃描。在這個(gè)漏洞曝露以后的兩個(gè)星期時(shí)間里，研究人員進(jìn)行了全網(wǎng)掃描以追蹤有多少主機(jī)沒(méi)有升級(jí)。 其結(jié)果是，在研究人員所追蹤的1570萬(wàn)部“通用即插即用”設(shè)備中，有256萬(wàn)部沒(méi)有升級(jí)，在總數(shù)中所占比例為16.7%。

在另一次實(shí)驗(yàn)中，研究人員則針對(duì)存在兩個(gè)問(wèn)題(這兩個(gè)問(wèn)題分別是在2008年和2011年被發(fā)現(xiàn)的)之一的加密密鑰進(jìn)行了全網(wǎng)掃描。以下圖表所顯示的是，研究人員在2012年6月份到2013年6月份之間反復(fù)進(jìn)行的掃描的結(jié)果。

從這張圖表來(lái)看，“通用即插即用”設(shè)備進(jìn)行升級(jí)的情況在某種程度上令人感到鼓舞。僅有很小一部分的加密密鑰受到了兩個(gè)漏洞中某一個(gè)的影響;在兩個(gè)案 例中，受攻擊加密密鑰的數(shù)量均已呈現(xiàn)出下降的趨勢(shì)。不過(guò)，在“Debian弱密鑰”(Debian weak key)案例中仍有2743個(gè)主機(jī)受到了攻擊，而在“可分解因子RSA密鑰”(factorable RSA keys)案例中則有4.46萬(wàn)個(gè)主機(jī)受到了攻擊。

ZMap迅速找到電腦安全漏洞的能力可能是件好事，前提是這個(gè)工具能讓富有道德責(zé)任感的安全研究人員和軟件廠商找到漏洞，并在信息傳遞給普通大眾以前就提前向系統(tǒng)管理員發(fā)出通知。

但與此同時(shí)，ZMap也能被用來(lái)干壞事。一名心懷惡意的黑客可以利用這種工具來(lái)迅速發(fā)現(xiàn)有漏洞尚未修復(fù)的電腦，并迅速地入侵這些電腦，從而在短短幾個(gè)小時(shí)時(shí)間里創(chuàng)造數(shù)以百萬(wàn)計(jì)的所謂“僵尸網(wǎng)絡(luò)”。