直到最近為止，對擁有數(shù)之不盡的獨立地址的互聯(lián)網(wǎng)進行整體掃描還是一種非常緩慢而“勞動密集型”的過程。舉例來說，有人曾使用nmap進行過一次掃描，想要搜集有關(guān)加密技術(shù)在線使用量的數(shù)據(jù)。其結(jié)果是，這一過程足足花了兩三個月時間。

密歇根大學(xué)研究人員覺得，他們在這一方面能做得更好;事實上，應(yīng)該說是好得多。在周五于華盛頓召開的Usenix國際安全研討會上，他們宣布推出了一種名為“ZMap”的工具，這種工具能令一臺普通的服務(wù)器在短短44分鐘時間里掃描互聯(lián)網(wǎng)上的每一個地址。

2010年有人曾所使用的是一種名為“Nmap”的工具，這個工具會向一臺主機發(fā)出請求，隨后等待接到請求的主機作出回應(yīng)。這些請求可以并行操作，但為每一個未得到回復(fù)的請求保留相關(guān)記錄仍舊會帶來大量的工作，從而拖緩掃描互聯(lián)網(wǎng)的進程。

那為什么ZMap可以在一個小時內(nèi)掃遍整個互聯(lián)網(wǎng)呢?與nmap相比，ZMap則是一種“無狀態(tài)”的工具;也就是說，這種工具會向服務(wù)器發(fā)出請求，然后就“忘記”這些請求。ZMap不會保留未獲回復(fù)請求的清單，而是在傳出的數(shù)據(jù)包中對識別信息進行編碼，這樣一來該工具就能對回復(fù)進行鑒別。

傳統(tǒng)上的TCP/IP需要“三次握手”報文交互，在此期間需要維持記錄著與對方交互的狀態(tài)。這種狀態(tài)記錄量是巨大的，占用內(nèi)存和CPU資源很大。ZMap在掃描時索性就不進行三次握手，只進行第一個SYN，然后等待對方回復(fù)SYN-ACK，之后即RST取消連接。這樣肯定會因網(wǎng)絡(luò)原因丟失一定比例的數(shù)據(jù)，根據(jù)其實驗，這個比例在2%左右。

關(guān)鍵性的問題出現(xiàn)在對回復(fù)的SYN-ACK進行seq number的校驗。傳統(tǒng)上就需要記錄狀態(tài)。而ZMap是將對方receiver ip地址進行hash，將其處理保存到了sender port和seq number兩個字段中，當(dāng)SYN-ACK回來的時候，就可以根據(jù)sender ip、receiver port、ack number這些字段進行校驗。因此避免了狀態(tài)存儲，接近了網(wǎng)絡(luò)帶寬極限。 

 

這種方法擁有巨大的優(yōu)勢，意味著Zmap輸出數(shù)據(jù)包的速度比Nmap高出1000倍以上。因此，用Nmap對整個互聯(lián)網(wǎng)進行掃描需要花費幾個星期時間，而使用ZMap這種工具則只需要44分鐘。

在擁有這種工具以后，人們將可迅速掃描整個互聯(lián)網(wǎng)，而且費用也不高，這就為針對整個互聯(lián)網(wǎng)的研究工作開辟了一些令人深深著迷的新可能性。

那么ZMap的誕生對我們又有什么益處呢，密歇根大學(xué)的研究人員用它做了幾次實驗：

日益加密的網(wǎng)絡(luò)

現(xiàn)在，越來越多的網(wǎng)站正在使用網(wǎng)絡(luò)基本協(xié)議的加密HTTPS版本。那么，企業(yè)組織正在以多快的速度作出這種轉(zhuǎn)變呢?在以前，哪怕只是對這個問題作出 一種簡單的估測也會是個緩慢而代價高昂的過程;但在今天，ZMap不僅能在一個小時以內(nèi)就對這個問題作出回答，而且還能通過定期掃描的方式來追蹤 HTTPS人氣度隨時間推移而上升的程度。

密歇根大學(xué)的研究人員利用ZMap工具進行追蹤研究后發(fā)現(xiàn)，在過去一年時間里，排名前100萬名的網(wǎng)站對于HTTPS的使用量(如下圖中紅線所示)已經(jīng)增長了23%左右，而HTTPS的整體數(shù)量(如下圖中的藍線所示)則已經(jīng)增長了將近20%。

颶風(fēng)會對互聯(lián)網(wǎng)造成怎樣的損害

當(dāng)重大的自然災(zāi)害來襲時，電腦可能會被迫斷開網(wǎng)絡(luò)連接，而使用ZMap工具則可對自然災(zāi)害令互聯(lián)網(wǎng)受損的程度作出測量。

在去年10月29日到31日之間，也就是桑迪颶風(fēng)(Hurricane Sandy)橫掃美國東海岸的那段時間里，密歇根大學(xué)的研究團隊每隔兩個小時就會對整個互聯(lián)網(wǎng)進行一次掃描。通過將IP地址與地理位置聯(lián)系起來的方式，研 究人員能對哪些地區(qū)的網(wǎng)絡(luò)服務(wù)中斷情況最為嚴(yán)重進行觀察。下面這張地圖所顯示的就是“收聽主機數(shù)量減少30%以上的位置”。

 

颶風(fēng)來臨時對互聯(lián)網(wǎng)進行掃描，來判斷受損區(qū)域

互聯(lián)網(wǎng)的睡眠周期

在掃描整個互聯(lián)網(wǎng)需要耗時幾個星期的時期，何時開始啟動一次掃描并沒有什么意義;但是，當(dāng)掃描過程只需要不到一個小時就能完成時，何時開始掃描就變得很有意義了。那么，何時開始進行一次全網(wǎng)掃描才是最好的時機呢?

為了回答這個問題，密歇根大學(xué)的研究人員在一天中的不同時刻進行了掃描，然后觀察自己能獲得多少回復(fù)。以下是他們的研究結(jié)果：

對于以上圖表所顯示的模式，或許有兩個理由能作為解釋。有一種可能性是，有些在線服務(wù)僅在一天中的某些特定時段開放。但是，可能性更高的一種解釋則 與網(wǎng)絡(luò)堵塞有關(guān)。在默認狀態(tài)下，ZMap只會向每個主機發(fā)出一個數(shù)據(jù)包;如果數(shù)據(jù)包是在網(wǎng)絡(luò)流量擁堵的高峰時段發(fā)出的，那么這個數(shù)據(jù)包(或是接收數(shù)據(jù)包的 主機所作出的回應(yīng))丟失的可能性就會變得更高。

 

掃描睡眠周期

從密歇根大學(xué)的研究報告來看，在任何情況之下，對整個互聯(lián)網(wǎng)進行掃描的最好時段都是凌晨，而最壞的時段則是傍晚。

分布廣泛的安全漏洞

安全研究人員總是能在現(xiàn)有的軟件里找到安全漏洞，從而迫使廠商迅速發(fā)布補丁來加以修復(fù)。但是，用戶在實際生活中要花多長時間才會真正使用補丁來修復(fù)安全漏洞呢?ZMap提供了一種迅速而有效的方法來對此作出測量。

密歇根大學(xué)的研究團隊進行了一次實驗，針對今年早些時候在所謂的“通用即插即用”(Universal Plug and Play)技術(shù)中被發(fā)現(xiàn)的一個重大漏洞對整個互聯(lián)網(wǎng)進行了掃描。在這個漏洞曝露以后的兩個星期時間里，研究人員進行了全網(wǎng)掃描以追蹤有多少主機沒有升級。 其結(jié)果是，在研究人員所追蹤的1570萬部“通用即插即用”設(shè)備中，有256萬部沒有升級，在總數(shù)中所占比例為16.7%。

在另一次實驗中，研究人員則針對存在兩個問題(這兩個問題分別是在2008年和2011年被發(fā)現(xiàn)的)之一的加密密鑰進行了全網(wǎng)掃描。以下圖表所顯示的是，研究人員在2012年6月份到2013年6月份之間反復(fù)進行的掃描的結(jié)果。

從這張圖表來看，“通用即插即用”設(shè)備進行升級的情況在某種程度上令人感到鼓舞。僅有很小一部分的加密密鑰受到了兩個漏洞中某一個的影響;在兩個案 例中，受攻擊加密密鑰的數(shù)量均已呈現(xiàn)出下降的趨勢。不過，在“Debian弱密鑰”(Debian weak key)案例中仍有2743個主機受到了攻擊，而在“可分解因子RSA密鑰”(factorable RSA keys)案例中則有4.46萬個主機受到了攻擊。

ZMap迅速找到電腦安全漏洞的能力可能是件好事，前提是這個工具能讓富有道德責(zé)任感的安全研究人員和軟件廠商找到漏洞，并在信息傳遞給普通大眾以前就提前向系統(tǒng)管理員發(fā)出通知。

但與此同時，ZMap也能被用來干壞事。一名心懷惡意的黑客可以利用這種工具來迅速發(fā)現(xiàn)有漏洞尚未修復(fù)的電腦，并迅速地入侵這些電腦，從而在短短幾個小時時間里創(chuàng)造數(shù)以百萬計的所謂“僵尸網(wǎng)絡(luò)”。