АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ
ТехнологииИнфраструктура и безопасностьИнформационная безопасностьZMap (программное обеспечение)

ZMap (программное обеспечение)

Экспертиза РАН

Logo-ran-black.png
Проведена экспертиза
Российской академией наук
Подробнее
Aprove.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проведена экспертиза
Российской академией наук
Подробнее

ZMap — бесплатный проект с открытым исходным кодом, представляющий собой сканер безопасности, созданный как более быстрая альтернатива Nmap. ZMap был разработан для исследований в области информационной безопасности и может использоваться как для легитимных целей (white hat), так и для злоумышленных (black hat). Инструмент позволяет обнаруживать уязвимости, оценивать их последствия и выявлять затронутые устройства IoT.

Используя один гигабит сетевой пропускной способности, ZMap способен просканировать всё пространство IPv4 примерно за 44 минуты на одном порту[1]. С помощью соединения на 10 Гбит/с сканирование всей адресной области занимает менее пяти минут[2].

Общие сведения
ZMap
Тип компьютерная безопасность, управление сетью
Автор Мичиганский университет
Разработчик The ZMap Team
Написана на C
Операционная система кроссплатформенная
Языки интерфейса английский
Первый выпуск 16 августа 2013
Последняя версия 4.3.4 (13 мая 2025)
Репозиторий github.com/zmap/zmap
Лицензия Apache License 2.0
Сайт zmap.io

Принцип работы

undefined

ZMap развивает методы, используемые своим предшественником Nmap, за счёт изменения способа сканирования в нескольких ключевых областях. Nmap отправляет индивидуальные сигналы каждому IP-адресу и ждёт ответа; полученные ответы компилируются в базу данных, что замедляет процесс. В отличие от него, ZMap применяет циклические умножительные группы, благодаря чему сканирование пространства осуществляется примерно в 1300 раз быстрее[4]. ZMap формирует итерационную формулу, обеспечивающую однократный, но псевдослучайный обход всех возможных 32-битных адресов (от 1 до 232-1)[1] Создание такого списка требует некоторого времени, но значительно меньше ресурсов, чем фиксация всех отправленных и полученных пакетов. Благодаря этому после запуска рассылки пакетов предотвращается случайная атака отказа в обслуживании: передаваемые пакеты равномерно рассредоточены и не перегружают подсети.[5].

ZMap ускоряет процесс также тем, что по умолчанию отправляет только один пакет каждому IP-адресу, тогда как Nmap может повторно отправлять запрос при задержках или отсутствии ответа[6]. В результате при стандартном сканировании пропускается около 2 % IP-адресов, однако для обработки миллиардов адресов или поиска потенциально уязвимых устройств IoT такой уровень погрешности считается приемлемым[3]

Применение

ZMap может использоваться как для обнаружения уязвимостей, так и для их эксплуатации.[7].[4]

Программа использовалась для массового сканирования HTTPS (порт 443), чтобы оценить масштабы отключений электроэнергии во время урагана Сэнди в 2013 году[3] Один из разработчиков ZMap, Закир Дурумерик (Zakir Durumeric), применял инструмент для определения состояния компьютера в сети, выявления уязвимостей, используемой операционной системы и сервисов.[8].[9] ZMap также применяется для выявления уязвимостей в устройствах Universal Plug and Play и поиска слабых открытых ключей в логах веб-сайтов с поддержкой HTTPS[10].

Примечания

  1. 1 2 Ducklin, Paul Welcome to Zmap, the "one hour turnaround" internet scanner. (англ.). Sophos (20 августа 2013). Дата обращения: 10 августа 2018. Архивировано 12 ноября 2020 года.
  2. Adrian, David (2014). “Zippier ZMap: Internet-Wide Scanning at 10 Gbps” (PDF). USENIX Workshop on Offensive Technologies [англ.].
  3. 1 2 3 Durumeric, Zakir; Wustrow, Eric; Halderman, J. Alex ZMap: Fast Internet-Wide Scanning and its Security Applications (англ.) (август 2013). Дата обращения: 9 августа 2018. Архивировано 27 сентября 2025 года.
  4. 1 2 De Santis, Giulia. Modeling and Recognizing Network Scanning Activities with Finite Mixture Models and Hidden Markov Models : [англ.]. — Université de Lorraine, 2018.
  5. Berko, Lex Now You Can Scan the Entire Internet in Under an Hour (англ.). Motherboard (19 августа 2013). Дата обращения: 10 августа 2018.
  6. De Santis, Giulia. Modeling of IP Scanning Activities with Hidden Markov Models: Darknet Case Study // 2016 8th IFIP International Conference on New Technologies, Mobility and Security (NTMS) : [англ.] / Giulia De Santis, Abdelkader Lahmadi, Jerome Francois … [et al.]. — 2016. — P. 1–5. — ISBN 978-1-5090-2914-3. — doi:10.1109/NTMS.2016.7792461.
  7. Durumeric, Zakir. A Search Engine Backed by Internet-Wide Scanning // Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security - CCS '15 : [англ.] / Zakir Durumeric, David Adrian, Ariana Mirian … [et al.]. — 2015. — P. 542–553. — ISBN 9781450338325. — doi:10.1145/2810103.2813703.
  8. Lee, Seungwoon. Implementation and vulnerability test of stealth port scanning attacks using ZMap of censys engine // 2016 International Conference on Information and Communication Technology Convergence (ICTC) : [англ.] / Seungwoon Lee, Sun-Young Im, Seung-Hun Shin … [et al.]. — 2016. — P. 681–683. — ISBN 978-1-5090-1325-8. — doi:10.1109/ICTC.2016.7763561.
  9. De Santis, Giulia; Lahmadi, Abdelkader; François, Jérôme; Festor, Olivier. “Internet-Wide Scanners Classification using Gaussian Mixture and Hidden Markov Models”. 2018 9th IFIP International Conference on New Technologies, Mobility and Security (NTMS) [англ.]. IEEE: 1—5.
  10. Arzhakov, Anton V. Analysis of current internet wide scan effectiveness // 2017 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EICon Rus) : [англ.] / Anton V Arzhakov, Irina F Babalova. — 2017. — P. 96–99. — ISBN 978-1-5090-4865-6. — doi:10.1109/EIConRus.2017.7910503.

Ссылки

Категории