du rififi chez les scanners

La MediaTIC News est une newsletter bimensuelle composée des meilleurs articles des blogs Orange Business : si vous souhaitez recevoir par email, le meilleur de nos articles, infographies etc.. Abonnez-vous à la newsletter ici, c’est gratuit !

Tout le monde connait des outils tels que NMAP, SIP Vicious ou encore Metasploit. Ils sont fonctionnellement puissants et permettent à l’amateur ou au professionnel de travailler en s’adaptant au profil (capacités) de chacun. 

L’un des seuls défauts communs à tous ces outils reste la vitesse des scans. En effet, si au lieu de vous en servir pour auditer un environnement restreint, vous vous proposez de jouer les géographes de l’Internet, vous voilà parti pour de nombreuses nuits de scan. Et parfois pour un résultat un peu décevant. Le rêve serait bien sûr d’avoir un lab sérieux avec des accès aux débits importants, mais il est parfois difficile de mettre tout ceci en œuvre chez soi - et il n’y a pas que le coût qui rentre en jeu ici (la création d’un lab digne de ce nom est quelque chose que je pourrais difficilement négocié avec mon CEO personnel).  

Enfin bref, tout ceci pour dire qu’un nouvel outil vient de faire son apparition : ZMAP. Ses auteurs annoncent la possibilité de scanner l’ensemble des adresses IPV4 en moins de 45 minutes si l’on possède une bande passante de 1Gb.

Il est évident que nous ne possédons par forcément ce type d’environnement, mais même en dégradant sérieusement les performances, cela promet tout de même des capacités beaucoup plus importantes avec un simple PC que ce qui était possible jusqu’à maintenant. Personnellement j’achète une promesse dégradée comme la possibilité de pouvoir scanner l’ensemble des adresses IP d’un pays en moins d’une journée. 

quelques liens pour trouver des informations plus complètes

  • Le détail de l’architecture de ce nouveau scanner avec les méthodologies utilisées peut se trouver ici.
  • Le papier d’origine réalisé par les chercheurs de l’université du Michigan est téléchargeable ici.
  • L'outil en lui même pourra être téléchargé sur le site zmap.io.

aparté sur la mise en œuvre

J’ai personnellement installé ZMAP sur une distribution Kali Linux 1.0.3. Voici la méthode discutable (je sais, ce n’est vraiment pas élégant) mais malgré tout efficace que j’ai employé en complément de la procédure donné avec ZMAP :

étape 1 : intégrer les sources debian dans l’outil apt-get

étape 2 : installer les trois packages recommandés par les créateurs de zmap

  • sudo apt-get install libgmp3-dev libpcap-dev gengetopt

étape 3 : il est possible que comme moi vous continuiez à obtenir un message d'erreur comme celui-ci

  • ../lib/blacklist.c: In function ‘blacklist_init_from_files’:
  • ../lib/blacklist.c:127:6: error: left shift count >= width of type [-Werror]
  • ../lib/blacklist.c:127:27: error: division by zero [-Werror=div-by-zero]

Une méthode brutale (je le reconnais, mais ma curiosité devait être satisfaite) sera d'éditer le fichier makefile et de supprimer le paramètre provoquant l’erreur, à savoir –Werror.

un premier retour d’expérience

Dès le premier lancement de ZMAP, il est évident que la vitesse de scan n’a rien à voir avec ce que j’ai connu jusqu’ici. La promesse est donc bien là. L’inconvénient inattendu qui vient finalement perturber cette heureuse constation vient de ma propre machine. En effet, les ressources CPU utilisées montent très rapidement à 100%, la température suit logiquement en gagnant plus de trente degrés, le ventilateur pourrait faire décoller ma machine (de 2000 tours à plus de 5000 en moyenne).

Le résultat de tout ceci m’a permis de découvrir qu’il existait un mécanisme d’autoprotection arrêtant ma machine lorsque les conditions d’utilisation devenaient anormales. Une bonne nouvelle dans l’absolu, mais qui ne m’aide pas dans mon expérience…

Un petit script permettant une temporisation d’une dizaine de seconde entre chaque subnet permet de résoudre ce problème. Cela ajoute également plus de trois heures supplémentaires sur le scan de subnets IP référencés pour la France.

mes premières conclusions

Il est fort probable que cet outil va intégrer la toolbox minimum des travailleurs de la sécurité. Je regrette la ncessité d'utiliser le C pour écrire des modules complémentaires, mais il faut bien faire un effort pour que les performances soient au rendez vous. Et sur ce point, il est indéniable que des progrès importants ont été réalisés. Par ailleurs, ce nouvel outil ouvre peut être une nouvelle voie de recherche qui permettra de s'adapter de façon plus crédible à IPv6 avec ses quantités d'adresses colossales.

Cedric

Crédit photo : © foxaon - Fotolia.com

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.