Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Du rififi chez les scanners

Du rififi chez les scanners
2013-09-182013-09-19sécurité des réseauxfr
Les outils de scan des réseaux IP sont désormais matures, connus et fonctionnels. Le paysage des joueurs de ce domaine particulier s'est assagi ces dernières années avec peu de concurrence. Ceci vient d'être remis en cause avec ZMAP: 45 minutes pour scanner l'ensemble des @ IPv4. Qui dit mieux ?
Publié le 18 Septembre 2013 par Cedric Baillet dans sécurité des réseaux
un radar vert

La MediaTIC News est une newsletter bimensuelle composée des meilleurs articles des blogs Orange Business Services : si vous souhaitez recevoir par email, le meilleur de nos articles, infographies etc.. Abonnez-vous à la newsletter ici, c’est gratuit !

Tout le monde connait des outils tels que NMAP, SIP Vicious ou encore Metasploit. Ils sont fonctionnellement puissants et permettent à l’amateur ou au professionnel de travailler en s’adaptant au profil (capacités) de chacun. 

L’un des seuls défauts communs à tous ces outils reste la vitesse des scans. En effet, si au lieu de vous en servir pour auditer un environnement restreint, vous vous proposez de jouer les géographes de l’Internet, vous voilà parti pour de nombreuses nuits de scan. Et parfois pour un résultat un peu décevant. Le rêve serait bien sûr d’avoir un lab sérieux avec des accès aux débits importants, mais il est parfois difficile de mettre tout ceci en œuvre chez soi - et il n’y a pas que le coût qui rentre en jeu ici (la création d’un lab digne de ce nom est quelque chose que je pourrais difficilement négocié avec mon CEO personnel).  

Enfin bref, tout ceci pour dire qu’un nouvel outil vient de faire son apparition : ZMAP. Ses auteurs annoncent la possibilité de scanner l’ensemble des adresses IPV4 en moins de 45 minutes si l’on possède une bande passante de 1Gb.

Il est évident que nous ne possédons par forcément ce type d’environnement, mais même en dégradant sérieusement les performances, cela promet tout de même des capacités beaucoup plus importantes avec un simple PC que ce qui était possible jusqu’à maintenant. Personnellement j’achète une promesse dégradée comme la possibilité de pouvoir scanner l’ensemble des adresses IP d’un pays en moins d’une journée. 

quelques liens pour trouver des informations plus complètes

  • Le détail de l’architecture de ce nouveau scanner avec les méthodologies utilisées peut se trouver ici.
  • Le papier d’origine réalisé par les chercheurs de l’université du Michigan est téléchargeable ici.
  • L'outil en lui même pourra être téléchargé sur le site zmap.io.

aparté sur la mise en œuvre

J’ai personnellement installé ZMAP sur une distribution Kali Linux 1.0.3. Voici la méthode discutable (je sais, ce n’est vraiment pas élégant) mais malgré tout efficace que j’ai employé en complément de la procédure donné avec ZMAP :

étape 1 : intégrer les sources debian dans l’outil apt-get

étape 2 : installer les trois packages recommandés par les créateurs de zmap

  • sudo apt-get install libgmp3-dev libpcap-dev gengetopt

étape 3 : il est possible que comme moi vous continuiez à obtenir un message d'erreur comme celui-ci

  • ../lib/blacklist.c: In function ‘blacklist_init_from_files’:
  • ../lib/blacklist.c:127:6: error: left shift count >= width of type [-Werror]
  • ../lib/blacklist.c:127:27: error: division by zero [-Werror=div-by-zero]

Une méthode brutale (je le reconnais, mais ma curiosité devait être satisfaite) sera d'éditer le fichier makefile et de supprimer le paramètre provoquant l’erreur, à savoir –Werror.

un premier retour d’expérience

Dès le premier lancement de ZMAP, il est évident que la vitesse de scan n’a rien à voir avec ce que j’ai connu jusqu’ici. La promesse est donc bien là. L’inconvénient inattendu qui vient finalement perturber cette heureuse constation vient de ma propre machine. En effet, les ressources CPU utilisées montent très rapidement à 100%, la température suit logiquement en gagnant plus de trente degrés, le ventilateur pourrait faire décoller ma machine (de 2000 tours à plus de 5000 en moyenne).

Le résultat de tout ceci m’a permis de découvrir qu’il existait un mécanisme d’autoprotection arrêtant ma machine lorsque les conditions d’utilisation devenaient anormales. Une bonne nouvelle dans l’absolu, mais qui ne m’aide pas dans mon expérience…

Un petit script permettant une temporisation d’une dizaine de seconde entre chaque subnet permet de résoudre ce problème. Cela ajoute également plus de trois heures supplémentaires sur le scan de subnets IP référencés pour la France.

mes premières conclusions

Il est fort probable que cet outil va intégrer la toolbox minimum des travailleurs de la sécurité. Je regrette la ncessité d'utiliser le C pour écrire des modules complémentaires, mais il faut bien faire un effort pour que les performances soient au rendez vous. Et sur ce point, il est indéniable que des progrès importants ont été réalisés. Par ailleurs, ce nouvel outil ouvre peut être une nouvelle voie de recherche qui permettra de s'adapter de façon plus crédible à IPv6 avec ses quantités d'adresses colossales.

Cedric

Crédit photo : © foxaon - Fotolia.com

1 Commentaire

  • 19 Septembre 2013
    2013-09-19
    par
    BAILLET Cedric
    Après une deuxième série de scan, voici trois points complémentaires qui me semblent importants:
    - Le nombre de machines identifiées à plus que doublé en abaissant la vitesse de scan (500K). La vitesse est donc un plus à maitriser pour garder des résultats convenables.
    - Il faut 36 heures pour scanner l'ensemble de IP françaises avec une bande passante de 500k.
    - Dans les conditions citées ci dessus, un PC de 8 ans supporte parfaitement le scan et peut tourner tranquillement le temps nécessaire pour compléter la tache sans surchauffe.
    => Je reste positif quand à l'efficacité de cet outil.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage