Пинг всего интернета: первые результаты Что будет, если пропинговать все IP-адреса в интернете? Хакеры из компании Security A(r)tWork решили поставить такой эксперимент и посмотреть, что получится. Они запустили два потока: первый отправлял к каждому IP-адресу запрос ICMP echo, а второй записывал ответы. Такой метод позволил работать спокойно, без особой нагрузки на сервер, а запросы ICMP echo были выбраны как самые невинные, чтобы не создавать проблем окружающим. При этом сканировались все адреса подряд, в том числе частные и закрытые сети. После 10 часов работы были получены следующие результаты: на пинг ответили 284 401 158 адресов, то есть около 7% всех систем. Если сгруппировать результаты по блокам /8, то процент ответивших систем сильно отличается в каждом из них. Во многих отклик 0,00%, например, в блоках 3.X.X.X, 6.X.X.X, 9.X.X.X и 11.X.X.X, которые принадлежат компании General Electric Company, армии США, компании IBM и Министерству обороны США, соответственно. В других же блоках наблюдается очень высокая активность. Вот список блоков, откуда пришло больше всего ответов («понгов»): ответили более 22% адресов. 71.X.X.X 4511701 ответов 26,89% ARIN 79.X.X.X 3991921 ответов 23,79% RIPE NCC 88.X.X.X 4356116 ответов 25,96% RIPE NCC 98.X.X.X 4549209 ответов 27,12% ARIN 177.X.X.X 3759343 ответов 22,41% LACNIC 178.X.X.X 4004355 ответов 23,87% RIPE NCC 187.X.X.X 4419158 ответов 26,34% LACNIC 188.X.X.X 3966741 ответов 23,64% Администрируется RIPE NCC 189.X.X.X 5836526 ответов 34,79% LACNIC Общие результаты представлены на диаграмме. Результат сканирования подтверждает заявления IANA о резервировании отдельных блоков /8. Действительно, там не замечено никакой активности. В то же время эксперимент показывает, насколько маленьким является адресное пространство IPv4: кто угодно может просканировать его целиком за полдня. Причём потенциальный злоумышленник может использовать пакеты UDP и попытаться провести какую-нибудь атаку. Эксперимент принёс ещё один любопытный результат: один из опрошенных серверов, получив запрос, присылал ответы (pong) несколько часов подряд. Исследователям так и не удалось понять, что стало причиной странного явления. В будущем исследователи Security A(r)tWork намерены опубликовать дополнительные результаты. В любом случае, они извиняются перед всеми, кого побеспокоили. Кстати, известный хакер HD Moore периодически проводит подобные сканы всего интернета, причём гораздо более жёсткие по TCP и UDP, и он нашёл много интересного: например, около 300 IIS-серверов, которые постоянно отдают одинаковые cookies на каждую сессию, семь серверов Windows NT 3.5.1 с открытым SNMP и многое другое (см. запись презентации на видео). https://www.youtube.com/watch?v=b-uPh99whw4&feature=player_embedded 08.02.2013 http://www.xakep.ru/post/60087/
Вася Пупкин перестарался, закрывая порты от сканирования. Я например у себя на сервере пинги закрываю по iptables limit, в итоге, если пинговать его, внешне очень похоже на нестабильный канал с потерями, школохацкер увидит и пройдет мимо - дед с потерями 80% не нужен никому. Плюс редирект закрытых портов на 80, что сканирующему выдает циклопический лист фейковых открытых портов. На домашнем сервере вообще на все входящие icmp (0,8,13-16) DROP, ибо нефиг. Потому удивляться нестандартному поведению нечего, чем уникальнее и необычнее набор правил, тем меньше вероятность взлома\брута юными хакерами. А в резервах /8 много у кого лежат, это и Xerox, и IBM, и MS, и еще пяток крупнейших корпораций. Как дефицит начнется, будут барыжить потихоньку.