ZMap – сетевой сканер с открытым исходным кодом

ZMap – это сетевой сканер с открытым исходным кодом, который позволяет легко выполнять исследования в Интернете. С отдельным устройством и хорошо снабженным сетевым аплинком ZMap может выполнять полное сканирование адресного пространства IPv4 менее чем за 5 минут, приближаясь к теоретическому пределу в десять Гб Ethernet. ZMap сканирует сеть в 1300 раз быстрее сетевого сканера Nmap.

ZMap используют для изучения протокола; с его помощью можно контролировать доступность услуг, а также лучше понять работу крупных систем, распределенных в сети Интернет.

Ознакомьтесь с руководством, прочитайте нашу научную статью или просто скачайте ZMap.

ZMapp был разработан группой ученых из Мичиганского университета:

• Закир Дурумерик, кандидат наук Мичиганского университета;
• Ерик Вустров, кандидат наук Мичиганского университета;
• Алекс Хальдерман, ассистент профессора, Мичиганский университет.

ZMap является мощным инструментом для исследований, но, пожалуйста, имейте в виду, что, запустив ZMap, вы потенциально проводите сканирование ВСЕГО адресного пространства IPv4 и некоторые пользователи могут отнестись к этому негативно. Пожалуйста, уважайте запросы на остановку сканирования и исключите эти сети из процесса сканирования.

Мы рекомендуем пользователям координировать свои действия с администраторами локальной сети перед выполнением какого-либо сканирования. Также мы разработали набор тесового сканирования, которое предлагаем использовать. Само собой разумеется, что исследователи должны воздержаться от использования защищенных ресурсов, а также соблюдать любые правовые требования в их юрисдикции.

Начало работы с ZMap

ZMap предназначен для выполнения комплексного сканирования адресного пространства IPv4 или его значительной части. ZMap – это мощный инструмент для исследования, но, пожалуйста, примите во внимание, что, запустив ZMap, вы потенциально сканируете ВСЕ адресное пространство IPv4 с более чем 1,4 миллиона пакетов в секунду. Мы рекомендуем пользователям даже перед выполнением небольшого сканирования связаться со своим локальным администратором сети и ознакомиться с нашим списком лучших практик сканирования.

По умолчанию ZMap выполнит сканирование TCP SYN на указанном порту при максимально возможной скорости. Конфигурация, которая будет сканировать 10000 случайных адресов на 80 порту при максимальной скорости 10 Мбит, работает следующим образом:

$ zmap --bandwidth=10M --target-port=80 --max-targets=10000 --output-file=results.csv

Или в более короткой форме:

$ zmap -B 10M -p 80 -n 10000 -o results.csv

ZMap может также использоваться для проверки отдельных подсетей или CIDR блоков. Например, чтобы сканировать только 10.0.0.0/8 и 192.168.0.0/16 на порту 80, выполните следующую команду:

zmap -p 80 -o results.csv 10.0.0.0/8 192.168.0.0/16

Если процесс сканирования был успешно запущен, ZMap изменит статус на подобный следующему:

0% (1h51m left); send: 28777 562 Kp/s (560 Kp/s avg); recv: 1192 248 p/s (231 p/s avg); hits: 0.04%

0% (1h51m left); send: 34320 554 Kp/s (559 Kp/s avg); recv: 1442 249 p/s (234 p/s avg); hits: 0.04%

0% (1h50m left); send: 39676 535 Kp/s (555 Kp/s avg); recv: 1663 220 p/s (232 p/s avg); hits: 0.04%

0% (1h50m left); send: 45372 570 Kp/s (557 Kp/s avg); recv: 1890 226 p/s (232 p/s avg); hits: 0.04%

Эти обновления передают информацию о текущем состоянии сканирования и имеют следующий вид: %-complete (est time remaining); packets-sent curr-send-rate (avg-send-rate); recv: packets-recv recv-rate (avg-recv-rate); hits: hit-rate.

Если вы не знаете, какую скорость сканирования поддерживает сеть, вы можете поэкспериментировать с различными скоростями или лимитом пропускной способности, чтобы найти самую большую скорость, которую ваша сеть может поддерживать.

По умолчанию ZMap будет выводить список различных IP-адресов, которые откликнулись успешно (например, с помощью пакета SYN ACK). Есть несколько дополнительных форматов (например, JSON и Redis) для вывода результатов, а также опции для получения программного анализа статистических данных. Для вывода дополнительных полей и результатов можно использовать фильтры.

115.237.116.119

23.9.117.80

207.118.204.141

217.120.143.111

50.195.22.82

Мы настоятельно рекомендуем вам использовать черный список, чтобы исключить занятые/ зарезервированные IP-пространства (например, мультикаст, RFC1918), а также сети, которые отправляют запрос на исключение из сканирования.

По умолчанию ZMap будет использовать простой файл черного списка, который содержит зарезервированные и нераспределенные адреса, расположенные на /etc/zmap/blacklist.conf. Если вы обнаружили определенные дополнительные настройки (например, максимальная пропускная способность или черный список), каждый раз, когда выполняете запуск ZMap, вы можете сохранить их на /etc/zmap/zmap.conf или использовать файл пользовательской конфигурации.

Если вы пытаетесь устранить проблемы, связанные со сканированием, есть несколько способов сделать это. Во-первых, можно выполнить пробное сканирование, чтобы обнаружить пакеты, которые передаются через –dryrun

Также можно изменить расширенную регистрацию с помощью установки —verbosity=n

Правила лучшего сканирования

Пользователям, которые применяют масштабное сканирование, мы предлагаем придерживаться таких правил:

1. Тесно взаимодействуйте с администратором локальной сети, чтобы уменьшить риски и обрабатывать запросы.
2. Убедитесь в том, что сканирование не будет подавлять локальную сеть или вышестоящего провайдера.
3. Проинформируйте о начале сканирования веб-страниц и DNS входа исходных адресатов.
4. Четко объясните назначение и объем проверок.
5. Обеспечьте простые средства для быстрой обработки запросов.
6. Проводите сканирование не чаще, чем это необходимо для целей исследования.
7. Если это возможно, распределите трафик сканирования по времени или по адресам.

Само собой разумеется, что пользователи, которые осуществляют проверку, должны воздерживаться от использования доступа к защищенным ресурсам. Обязательным является соблюдение любых правовых требований в их юрисдикции. Источник