image

Onderzoeker scant alle IP-adressen op internet

zondag 16 oktober 2011, 10:19 door Redactie, 16 reacties

Beveiligingsonderzoeker David Maynor is met een project begonnen waarbij hij alle IPv4-adressen op internet gaat scannen. "Ik scan alles van 1.0.0.1 tot 223.255.255.255", aldus Maynor die werkzaam is voor beveiligingsbedrijf Errata Security. Van gescande systemen wordt hostname, IP-adres, besturingssysteem en service versie verzameld en later openbaar gemaakt. Maynor verwacht dat hij zo'n honderd dagen met zijn onderzoek bezig zal zijn.

Hij merkt verder op dat meer onderzoekers het internet scannen. Zo zou er nog een groep bezig zijn met het afstruinen van het internet. Daarnaast zouden ook verschillende 'black hat' hackers zich hiermee bezighouden. Maynor wil met zijn aankondiging niet alleen mensen van tevoren waarschuwen, maar verwacht ook dat sommigen zijn IP-adres 216.75.60.94 zullen blokkeren.

Reactie
Iets waar Maynor zelfs op hoopt. Het doel van het onderzoek is namelijk om te zien hoe de reacties van mensen invloed op de resultaten hebben. Uiteindelijk worden alle gegevens in een rapport verzameld en openbaar gemaakt. Het eerste resultaat dat de onderzoeker bekend maakt is dat hij meer 'SYN-SYNACK-ACK-RST' combinaties krijgt dan verwacht.

Reacties (16)
16-10-2011, 10:23 door spatieman
blokkeert het belt advocaat, scannen ies verboten..
16-10-2011, 11:11 door _Peterr
Ja, en dan? Moet ik daar nu bang voor worden....
Als ze langs mijn huis rijden zien ze ook een houten voordeur met een LIPS slot. Maar dan komen ze nog niet binnen.

OS is bij mij divers. WinXP, WinVista, Win7, Linux en soms zelfs nog Win95 in VMware. Hostname zal wel het externe DNS naam zijn die bij het externe ip-adres hoort. Verder kom je niet echt.....
16-10-2011, 11:17 door Anoniem
gelijk dat ip adres geblokkeerd. Ik moet hem niet
16-10-2011, 11:20 door [Account Verwijderd]
[Verwijderd]
16-10-2011, 14:25 door Anoniem
Door spatieman: blokkeert het belt advocaat, scannen ies verboten..
Bron?
16-10-2011, 17:29 door Erik van Straten
Door Redactie: Van gescande systemen wordt hostname, IP-adres, besturingssysteem en service versie verzameld en later openbaar gemaakt.
- IP-adres: het lijkt me logisch dat als iets antwoordt op een IP adres, dat daar in elk geval iets over te vertellen valt (of je daar vervolgens veel aan hebt hangt erg af van de situatie, zie de volgende punten).

- Hostname: reverse DNS lookups werken zelden en als ze werken zijn ze vaak onbetrouwbaar.

- Besturingssysteem en service (pack?) versie: ik heb geen idee hoeveel devices met een IP-adres bestaan, maar door NAT en netwerkfirewalls krijg je daar hooguit een deel (en waarschijnlijk slechts een fractie) van te zien. Van de bereikbare publieke IP-adressen kun je middels "network fingerprinting" vaak wel wat te weten komen, maar dit zal door sommige destinations als een aanval worden geïnterpreteerd, met als mogelijk gevolg een verdere blokkade of zelfs wraakaanvallen.

Het resultaat van dit onderzoek zal hooguit een inschatting zijn:
- waar internet facing servers staan en welk besturingssysteem zij (of de load-balancers/reverse proxies ervoor) draaien;
- welke NAT-routers en firewalls gebruikt worden;
- in welk deel van de gevallen thuisgebruikers zonder NAT hun PC's "direct aan internet" hangen. Maar dan moeten die PC's op het moment van de scan wel aan staan (d.w.z. niet uit, gehibernate of standby).
Door Hugo: En het nut van deze scan is?
Dat vraag ik me ook af.
16-10-2011, 17:43 door [Account Verwijderd]
Als je als privégebruiker achter een NAT router zit en je port forwarding staat af dan is z'n oefening nutteloos.

Het is vooral interessant om in kaart te brengen waar er nog oude NT4 machines e.d. draaien die misschien vergeten waren. Voor de rest - buiten wat aandacht trekken - volkomen nutteloos
16-10-2011, 19:06 door Anoniem
ftp word vaak gescant bij mij, ze proberen dan ook altijd binnen te komen.
Vaak schuilt er een organisatie achter, of een school.
En heel veel uit korea, canada duitsers fransen en russen. en hier en daar 1 uit america.
poort 5900 vinden ze ook zo interessant, en JPG/MPEG stream weten ze ook heel goed te vinden.
Heel vreemd.
16-10-2011, 22:19 door Anoniem
Door Anoniem: ftp word vaak gescant bij mij, ze proberen dan ook altijd binnen te komen.
Vaak schuilt er een organisatie achter, of een school.
En heel veel uit korea, canada duitsers fransen en russen. en hier en daar 1 uit america.
poort 5900 vinden ze ook zo interessant, en JPG/MPEG stream weten ze ook heel goed te vinden.
Heel vreemd.

Zelfde ervaring hier, maar ook mijn mailserver is op POP3 en IMAP een slachtoffer, wanneer ik zie hoe veel login's ze proberen. Daarnaast valt het me op dat ze proberen in te loggen en daarna een folder aan te maken.

Ooit een keer per ongeluk anonymous schrijf rechten gegeven, binnen een dag stond er een kleine 80GB aan porno en andere zaken op mijn ftp server zoals warez enzo. Het is dat ik een mail kreeg op mijn foon dat mijn disk vol was :) Snel dicht gezet en de boel weg gegooid... pfffff
16-10-2011, 22:37 door Anoniem
Kom maar terug met een verslag van je onderzoek als je de hele ipv6 range gedaan hebt.....
17-10-2011, 08:02 door Anoniem
Las ik daar wat op het net over Peerblock en PeerGuardian.
Geen idee of deze werken?
Is er trouwens een handig programma waar de 'leek' ook gemakkelijk IP adressen kan mee blokkeren?
17-10-2011, 08:43 door Anoniem
Al duizenden ging hem voor, dit is alleen een 'officiële' scan.
17-10-2011, 10:35 door Anoniem
Ik weet niet hoe het bij jullie zit, maar bij ons hebben we aan het begin van de ip range een mooi darknet dat dit soort scans detecteerd en, zeker indien er een range (versus specifiek IP) gescand word, alles automatisch gedropt op de firewalls.
17-10-2011, 11:33 door SirDice
Door spatieman: blokkeert het belt advocaat, scannen ies verboten..
Volgens welke wet?
18-10-2011, 17:38 door Anoniem
Door Anoniem: Al duizenden ging hem voor, dit is alleen een 'officiële' scan.



HAHAHA inderdaad...

EN als die het van zn smartphone doet blokkeren ze hem hahaha.

En anders loop die kans op problemen met zn provider


Bij xs4all checken ze erop...
18-10-2011, 20:17 door Bert de Beveiliger
Bah, Fyodor has been there, done that. No t-shirt voor deze meneer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.