网络映射新秀Zmap：分析师的福音或IT安全灾难

ZDNET网络频道 08月20日 编译：最近，密歇根大学的研究人员开发出了一种新工具，可以让一台拥有千兆以太网端口的服务器快速扫描整个互联网，以至于在45分钟内完成全球98%的IPv4网络映射。

映射互联网节点并不是什么新技术——很多企业和研究人员很多年前就开始这样做了。但是互联网规模十分庞大，所以一次完整的扫描需要耗费几个月的时间，或者需要安装一个专门的僵尸网络用云计算完成这项任务。但是，这款名为Zmap的新工具，通过使用智能编程和高效以太网在几十分钟内就可以完成这项工作。

在上周五的一篇发给“第22届USENIX安全研讨会”的报道中，该团队宣称Zmap的运行速度比常见的网络扫描器Nmap要快上1300倍，这得益于前者的“无状态”搜索。对于向检测做出响应的互联网节点，Nmap只提供一个检查清单，而Zmap将记录其中包括转储耗时进程的记录以及过程，并对数据包中的节点详情进行加密。

该工具旨在获取绝大多数的互联网映射，而其研究报告也指出，千兆网络的应用将进一步带来97%的扫描速度提升。

如果访问速度真能这么快，那么对于互联网分析师而言就是件大喜事，此工具的开发团队阐述了Zmap测试扫描中能够探测出很多问题。例如，研究人员使用Zmap追踪认证中心（CA）的行为时，发现韩国政府错误地向学校和教育机构发布了1300份证书。

当使用不同的检测模式时，该团队都可以将升级协议的使用情况映射出来，如HTTPS，而且还可以追踪这些协议被接受的速度。IT人员还可以追踪了解，去年十月肆虐美国东海岸的“超级风暴”桑迪所破坏的连接。

但是，研究人员警告称，如果恶意软件传播者学会使用这一工具，那么Zmap对于安全行业而言则存在严重隐患。他们会用Universal Plug and Play （UPnP）协议的一个漏洞搜寻带有未打补丁的机器。（UPnP是安全研究员HD Moore在1月推出的一个协议）

通过UPnP做试探性尝试的扫描模式表明，超过20%的联网硬件都没有打补丁，而这种扫描耗时不到两小时。如果是狡猾的不法分子就可能利用这种扫描来攻击节点，轻松而快速地创建大规模的僵尸网络。

“由于这些带有漏洞的设备可能通过一个单独的UDP数据包感染，所以我们提醒大家，这340万设备可能在几乎相同的时间里被感染——快到网络运营商都不能作出响应，或是将补丁应用到有漏洞的主机上，”该报告警告称。