L'impact des scanners de réseau agressifs
Explorer les effets du scan réseau agressif sur le trafic internet.
― 6 min lire
Table des matières
- C'est Quoi Les Scanners de Réseau Agressifs ?
- Le Problème du Scan
- Objectifs de Recherche
- Collecte de données
- Caractéristiques des Scanners
- Impact sur le Réseau
- Flux de Paquets Miroités
- Comportement des Protocoles
- Scanners Reconnaissables vs Scanners Malveillants
- Considérations Éthiques
- Directions Futures
- Conclusion
- Source originale
- Liens de référence
L'internet est constamment scanné par divers outils et programmes. Certains de ces scans sont inoffensifs, destinés à la recherche, tandis que d'autres sont nuisibles, cherchant des points faibles à exploiter. Cet article se concentre sur les scanners de réseau agressifs, leurs comportements et les effets qu'ils ont sur le trafic internet.
C'est Quoi Les Scanners de Réseau Agressifs ?
Les scanners de réseau agressifs sont des programmes qui scrutent l'internet à la recherche de systèmes vulnérables. On peut les classer en deux groupes :
- Scanners inoffensifs : Ces outils sont utilisés par des chercheurs pour évaluer la sécurité et déceler des problèmes dans les réseaux.
- Scanners malveillants : Ceux-ci sont opérés par des individus ou des groupes cherchant à exploiter des faiblesses dans les systèmes.
Comprendre les caractéristiques et les impacts de ces scanners est crucial pour les opérateurs de réseaux et les pros de la sécurité.
Le Problème du Scan
Malgré leur utilité, les scanners agressifs peuvent causer des problèmes importants pour les réseaux. Ils génèrent de grandes quantités de trafic, ce qui peut perturber le fonctionnement normal. Cela peut entraîner des retards et des problèmes similaires à ceux causés par des attaques par déni de service (DoS).
Le scanning agressif a augmenté ces dernières années grâce à des outils qui simplifient les pratiques de scan. Ces outils permettent un scanning rapide et vaste, générant une tonne de trafic de données.
Objectifs de Recherche
L'objectif principal est d'analyser le comportement des scanners agressifs sur une longue période. En faisant cela, on espère comprendre leur impact sur le réseau et sensibiliser la communauté des réseaux au trafic qu'ils génèrent.
On va regarder à quelle fréquence ces scans se produisent, combien de trafic ils génèrent, et quels systèmes ils ciblent.
Collecte de données
Pour étudier les scanners agressifs, on a surveillé un grand télescope réseau, un setup spécial qui collecte des données à partir d'adresses internet inutilisées. Cela nous permet de voir l'activité de scan sans interférer avec de vrais utilisateurs.
On a divisé notre collecte de données en deux périodes pour une analyse plus approfondie. Les données de chaque période nous aident à repérer les tendances au fil du temps.
On a aussi rassemblé des données de flux provenant de fournisseurs d'accès internet (FAI). Ces données montrent combien de trafic provient des scanners identifiés. De plus, on a analysé les flux de paquets pour confirmer les résultats des données de flux, s'assurant d'avoir une image claire de l'impact du scanning.
Caractéristiques des Scanners
On a défini les scanners agressifs de plusieurs façons. Une façon est de regarder combien d'adresses IP uniques ils ciblent en un scan. Si un scanner attaque un grand nombre de ces adresses, on le classe comme agressif.
Une autre méthode consiste à évaluer le nombre total de paquets envoyés pendant les scans. Les scanners qui dépassent une limite de paquets définie sont également classés comme agressifs. Enfin, on a examiné le nombre de ports uniques qu'un scanner cible en une journée.
Grâce à ces méthodes, on a identifié un nombre important de scanners agressifs uniques opérant pendant nos périodes de surveillance.
Impact sur le Réseau
Une fois ces scanners identifiés, on a examiné leur effet sur le Trafic réseau. On a découvert que les paquets provenant de scanners agressifs représentent une portion notable du trafic total sur les routeurs principaux des FAI que l'on a étudiés.
Certains jours, jusqu'à 5,85 % des paquets totaux traités par ces routeurs provenaient de scanners agressifs. Ce chiffre est significatif, suggérant que le scanning agressif contribue à une portion visible du trafic internet global.
Le trafic de ces scanners a tendance à fluctuer, avec des taux plus élevés observés pendant les week-ends, lorsque les habitudes d'utilisation d'internet changent.
Flux de Paquets Miroités
Pour valider encore plus l'impact des scanners agressifs, on a regardé les flux de paquets miroités. Cette méthode offre des aperçus en temps réel des motifs de trafic.
Les données ont montré que même les petits réseaux ressentaient la pression de ces scanners. Pendant les jours chargés, le trafic provenant de scanners agressifs pouvait représenter plus de 10 % du trafic total sur certains réseaux.
Comportement des Protocoles
Analyser les types de paquets scannés a révélé des tendances intéressantes. La majorité du trafic des scanners agressifs était dirigé vers quelques ports et protocoles courants. Des ports comme Telnet et Redis se sont avérés être des cibles populaires pour les scans, indiquant un focus sur des systèmes qui peuvent être moins sécurisés ou plus vulnérables.
De plus, on a découvert que le comportement des scanners agressifs était cohérent à travers différents ensembles de données. Cela suggère que le scanning agressif est un comportement répandu et persistant sur internet.
Scanners Reconnaissables vs Scanners Malveillants
Certains scanners divulguent leurs intentions et sont considérés comme "reconnus". Ces scanners s'engagent souvent dans la recherche et contribuent à améliorer la sécurité sur internet.
Cependant, les scanners plus préoccupants, qui ne divulguent pas leur but, représentent une part importante des activités de scanning agressives. Une grande partie des scanners agressifs est liée à des activités nuisibles ou est simplement inconnue dans leurs intentions.
Considérations Éthiques
Lors de la collecte de données sur le trafic internet et le scanning, les normes éthiques sont cruciales. Toutes les données ont été collectées passivement, ce qui signifie qu'on n'a pas interagi avec les IP identifiées ni essayé de sonder leurs systèmes. L'objectif était de s'assurer que notre recherche respectait les normes de confidentialité et d'éthique.
Directions Futures
Comprendre les scanners agressifs et leurs impacts est essentiel pour développer des stratégies efficaces pour gérer les problèmes de réseau. Partager des listes curées de scanners agressifs connus avec les opérateurs de réseaux peut les aider à bloquer le trafic nuisible.
Les travaux futurs incluent l'étude des scanners agressifs à plus grande échelle, au-delà des réseaux académiques, et l'élargissement des investigations sur les scanners IPv6, qui jouent aussi un rôle dans la dynamique du réseau.
Conclusion
L'internet est un environnement complexe où les activités de scanning se produisent en continu. Les scanners de réseau agressifs, qu'ils soient inoffensifs ou malveillants, peuvent avoir un impact significatif sur le trafic et la performance du réseau. En comprenant leur comportement et en surveillant leurs effets, les opérateurs de réseaux peuvent prendre des mesures pour protéger leurs systèmes contre d'éventuelles perturbations et attaques. Une recherche continue dans ce domaine est essentielle pour garantir un internet plus sûr et sécurisé.
Titre: Aggressive Internet-Wide Scanners: Network Impact and Longitudinal Characterization
Résumé: Aggressive network scanners, i.e., ones with immoderate and persistent behaviors, ubiquitously search the Internet to identify insecure and publicly accessible hosts. These scanners generally lie within two main categories; i) benign research-oriented probers; ii) nefarious actors that forage for vulnerable victims and host exploitation. However, the origins, characteristics and the impact on real networks of these aggressive scanners are not well understood. In this paper, via the vantage point of a large network telescope, we provide an extensive longitudinal empirical analysis of aggressive IPv4 scanners that spans a period of almost two years. Moreover, we examine their network impact using flow and packet data from two academic ISPs. To our surprise, we discover that a non-negligible fraction of packets processed by ISP routers can be attributed to aggressive scanners. Our work aims to raise the network community's awareness for these "heavy hitters", especially the miscreant ones, whose invasive and rigorous behavior i) makes them more likely to succeed in abusing the hosts they target and ii) imposes a network footprint that can be disruptive to critical network services by incurring consequences akin to denial of service attacks.
Auteurs: Aniket Anand, Michalis Kallitsis, Jackson Sippe, Alberto Dainotti
Dernière mise à jour: 2023-05-11 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2305.07193
Source PDF: https://arxiv.org/pdf/2305.07193
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.