Die Auswirkungen von aggressiven Netzwerkscannern
Die Auswirkungen von aggressivem Netzscanning auf den Internetverkehr untersuchen.
― 5 min Lesedauer
Inhaltsverzeichnis
Das Internet wird ständig von verschiedenen Tools und Programmen gescannt. Einige dieser Scans sind harmlos und dienen der Forschung, während andere schädlich sind und nach Schwachstellen suchen, um sie auszunutzen. Dieser Artikel konzentriert sich auf aggressive Netzscanner, ihr Verhalten und die Auswirkungen, die sie auf den Internetverkehr haben.
Was sind aggressive Netzscanner?
Aggressive Netzscanner sind Programme, die das Internet nach verwundbaren Systemen absuchen. Sie lassen sich in zwei Gruppen einteilen:
- Harmless Scanner: Die werden von Forschern genutzt, um die Sicherheit zu bewerten und Probleme in Netzwerken zu finden.
- Böse Scanner: Die werden von Personen oder Gruppen betrieben, die Schwächen in Systemen ausnutzen wollen.
Es ist wichtig, die Eigenschaften und Auswirkungen dieser Scanner zu verstehen, damit Netzbetreiber und Sicherheitsprofis Bescheid wissen.
Das Problem mit Scans
Trotz ihrer Nützlichkeit können aggressive Scanner erhebliche Probleme für Netzwerke verursachen. Sie erzeugen grosse Mengen an Verkehr, was den normalen Betrieb stören kann. Das kann zu Verzögerungen und Problemen führen, die ähnlich wie bei Denial-of-Service (DoS) Angriffe sind.
Aggressives Scannen hat in den letzten Jahren zugenommen, weil es Tools gibt, die das Scannen einfacher machen. Mit diesen Tools kann man schnell und weitreichend scannen, was jede Menge Datenverkehr erzeugt.
Forschungsziele
Das Hauptziel ist, das Verhalten aggressiver Scanner über einen längeren Zeitraum zu analysieren. So hoffen wir, ihren Einfluss auf das Netzwerk zu verstehen und das Bewusstsein in der Netz-Community über den Verkehr, den sie erzeugen, zu erhöhen.
Wir werden untersuchen, wie oft diese Scans stattfinden, wie viel Verkehr sie erzeugen und welche Systeme sie anvisieren.
Datensammlung
Um aggressive Scanner zu studieren, haben wir ein grosses Netzwerk-Teleskop überwacht, eine spezielle Einrichtung, die Daten von ungenutzten Internet-Adressen sammelt. Das ermöglicht uns, die Scanning-Aktivitäten zu sehen, ohne echte Nutzer zu stören.
Wir haben unsere Datensammlung in zwei Zeiträume aufgeteilt, um eine tiefere Analyse zu machen. Die Daten aus jedem Zeitraum helfen uns, Trends über die Zeit zu erkennen.
Wir haben auch Flussdaten von Internetdienstanbietern (ISPs) gesammelt. Diese Daten zeigen, wie viel Verkehr von den identifizierten Scannern kommt. Ausserdem haben wir Paketströme analysiert, um die Ergebnisse der Flussdaten zu bestätigen und sicherzustellen, dass wir ein klares Bild vom Scanning-Einfluss hatten.
Eigenschaften von Scannern
Wir haben aggressive Scanner auf verschiedene Arten definiert. Eine Möglichkeit ist, zu schauen, wie viele einzigartige IP-Adressen sie in einem Scan ansteuern. Wenn ein Scanner eine grosse Anzahl dieser Adressen trifft, klassifizieren wir ihn als aggressiv.
Eine andere Methode ist, die Gesamtzahl der während der Scans gesendeten Pakete zu bewerten. Scanner, die eine bestimmte Paketgrenze überschreiten, werden ebenfalls als aggressiv eingestuft. Schliesslich haben wir die Anzahl der einzigartigen Ports betrachtet, die ein Scanner an einem Tag anvisiert.
Durch diese Methoden haben wir eine beträchtliche Anzahl einzigartiger aggressiver Scanner identifiziert, die während unserer Überwachungsperioden aktiv waren.
Netzwerk-Einfluss
Nachdem wir diese Scanner identifiziert hatten, haben wir ihre Wirkung auf den Netzwerkverkehr untersucht. Wir haben herausgefunden, dass Pakete von aggressiven Scannern einen bemerkenswerten Teil des gesamten Verkehrs auf den Kernroutern der ISPs, die wir untersucht haben, ausmachten.
An bestimmten Tagen kamen bis zu 5,85% der Gesamtpakete, die von diesen Routern verarbeitet wurden, von aggressiven Scannern. Diese Menge ist signifikant, was darauf hindeutet, dass aggressives Scannen einen bemerkenswerten Teil des gesamten Internetverkehrs beiträgt.
Der Verkehr von diesen Scannern schwankt, wobei an Wochenenden höhere Raten zu sehen sind, wenn sich die allgemeinen Internetnutzungsmuster ändern.
Gespiegelte Paketströme
Um die Auswirkungen von aggressiven Scannern weiter zu validieren, haben wir gespiegelte Paketströme betrachtet. Diese Methode liefert Echtzeiteinblicke in die Verkehrsmuster.
Die Daten zeigten, dass selbst kleinere Netzwerke unter dem Druck dieser Scanner litten. An geschäftigen Tagen konnte der Verkehr von aggressiven Scannern sogar mehr als 10% des gesamten Verkehrs in bestimmten Netzwerken ausmachen.
Protokollverhalten
Die Analyse der Scanning-Pakettypen zeigte interessante Trends. Der Grossteil des Verkehrs von aggressiven Scannern richtete sich an eine Handvoll gängiger Ports und Protokolle. Ports wie Telnet und Redis erregten als beliebte Ziele für Scans Aufmerksamkeit, was auf ein Interesse an Systemen hindeutet, die weniger sicher oder anfälliger sein könnten.
Darüber hinaus haben wir festgestellt, dass das Verhalten aggressiver Scanner in verschiedenen Datensätzen konsistent war. Das deutet darauf hin, dass aggressives Scannen ein weit verbreitetes und anhaltendes Verhalten im Internet ist.
Anerkannte Scanner vs. böse Scanner
Einige Scanner geben ihre Absichten offen zu und werden als "anerkannt" betrachtet. Diese Scanner beteiligen sich häufig an Forschungen und helfen, die Internet-Sicherheit zu verbessern.
Die besorgniserregenderen Scanner, die ihre Zwecke nicht offenlegen, machen jedoch einen erheblichen Teil der aggressiven Scanning-Aktivitäten aus. Ein grosser Teil der aggressiven Scanner ist mit schädlichen Aktivitäten verbunden oder ist einfach unbekannt in ihren Absichten.
Ethische Überlegungen
Bei der Datensammlung über Internetverkehr und Scanning sind ethische Standards entscheidend. Alle Daten wurden passiv gesammelt, was bedeutet, dass wir nicht mit den identifizierten IPs interagiert oder versucht haben, ihre Systeme zu scannen. Das Ziel war sicherzustellen, dass unsere Forschung die Datenschutz- und ethischen Standards einhält.
Zukünftige Richtungen
Das Verständnis aggressiver Scanner und ihrer Auswirkungen ist entscheidend, um effektive Strategien zur Bewältigung von Netzwerkproblemen zu entwickeln. Das Teilen kuratierter Listen bekannter aggressiver Scanner mit Netzbetreibern kann ihnen helfen, schädlichen Verkehr zu blockieren.
Zukünftige Arbeiten beinhalten das Studium aggressiver Scanner in grösserem Massstab, über akademische Netzwerke hinaus, und das Ausweiten von Untersuchungen auf IPv6-Scanner, die ebenfalls eine Rolle in der Netzwerkdynamik spielen.
Fazit
Das Internet ist ein komplexes Umfeld, in dem Scanning-Aktivitäten kontinuierlich stattfinden. Aggressive Netzscanner, sowohl harmlos als auch bösartig, können erheblichen Einfluss auf den Netzwerkverkehr und die Leistung haben. Durch das Verständnis ihres Verhaltens und die Überwachung ihrer Auswirkungen können Netzbetreiber Massnahmen ergreifen, um ihre Systeme vor möglichen Störungen und Angriffen zu schützen. Fortlaufende Forschung in diesem Bereich ist entscheidend, um ein sichereres und geschützteres Internet zu gewährleisten.
Titel: Aggressive Internet-Wide Scanners: Network Impact and Longitudinal Characterization
Zusammenfassung: Aggressive network scanners, i.e., ones with immoderate and persistent behaviors, ubiquitously search the Internet to identify insecure and publicly accessible hosts. These scanners generally lie within two main categories; i) benign research-oriented probers; ii) nefarious actors that forage for vulnerable victims and host exploitation. However, the origins, characteristics and the impact on real networks of these aggressive scanners are not well understood. In this paper, via the vantage point of a large network telescope, we provide an extensive longitudinal empirical analysis of aggressive IPv4 scanners that spans a period of almost two years. Moreover, we examine their network impact using flow and packet data from two academic ISPs. To our surprise, we discover that a non-negligible fraction of packets processed by ISP routers can be attributed to aggressive scanners. Our work aims to raise the network community's awareness for these "heavy hitters", especially the miscreant ones, whose invasive and rigorous behavior i) makes them more likely to succeed in abusing the hosts they target and ii) imposes a network footprint that can be disruptive to critical network services by incurring consequences akin to denial of service attacks.
Autoren: Aniket Anand, Michalis Kallitsis, Jackson Sippe, Alberto Dainotti
Letzte Aktualisierung: 2023-05-11 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2305.07193
Quell-PDF: https://arxiv.org/pdf/2305.07193
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.