Internet ya no es tan grande

En una anterior entrada escribí sobre la herramienta de escaneo de red Nmap y su potente motor de scripting NSE, muy útil para las primeras fases del test de intrusión. En esta entrada quiero hacer hincapié en la reciente herramienta publicada por tres investigadores de la Universidad de Michigan llamada Zmap, la cual también nos ayudará bastante en la fase de enumeración.

Lo sorprendente de Zmap es su rapidez en escanear un gran conjunto de direcciones IPv4, de hecho es capaz de escanear todas las direcciones de Internet en 45 minutos, es decir, escanea 4.294.967.296 en 45 minutos mientras que para hacer la misma operación con Nmap se necesita más de 100 días. De hecho alcanza velocidades de escaneo cerca del Gigabit por segundo, por lo que puede consumir bastante ancho de banda de la conexión a Internet, llegando a provocar DoS. Sin embargo, por el momento Zmap no es un sustituto de Nmap, ya que Zmap necesita que le pases por parámetro el puerto que quieres escanear, mientras que con Nmap podemos tener un listado de todos los puertos de una determinada máquina.

El uso que se le puede dar a la herramienta es muy amplio, desde escanear diariamente toda Internet para realizar estudios de cuántos servidores https existen, o servidores de correo, dns, etc, o como la mayoría de herramientas de este tipo se puede utilizar con fines “maliciosos”, como para buscar todos los equipos con UPnP publicado en Internet para explotar la última vulnerabilidad conocida.

La instalación de Zmap, la podemos realizar de la siguiente manera:

# apt-get install libgmp3-dev libpcap-dev gengetopt git

# git clone git://github.com/zmap/zmap.git zmap

# mv zmap/ /usr/src/

# cd /usr/src/ zmap

# git pull

# make

# make install

Por ejemplo, si estamos interesados en saber cuántos servidores https hay actualmente en Internet ejecutaríamos:

# zmap -p 443 -o results.txt

O también, podemos buscar algún servicio concreto como snmp, nfs, etc. En mi caso hice un escaneo del puerto 8000, donde tras buscar un rato llegué a un router FiberHome de Telefónica con las claves por default, por supuesto:

# zmap -i wlan0 -B 2M --target-port=8000 –output-file=resultados_8000.txt

Así que al igual que podemos utilizar Zmap para realizar estudios del comportamiento de Internet a ciertos servicios, también se puede utilizar en la fase de enumeración y por supuesto los “malos” ahora tienen más fácil la búsqueda de servicios vulnerables. Además, desde mi punto de vista, Zmap al ser una herramienta Open Source la comunidad no tardará en añadir nuevas funcionalidades, potenciando aún más la herramienta y permitiendo tener un esquema más exacto del estado de Internet. Como podemos ver, “Internet” se nos está quedando pequeña, ahora ya podemos conocer cada rincón de esta red de redes.