今年二月,奥地利人克里斯蒂安·哈什切克(Christian Haschek)在他的博客上发表了一篇有趣的文章,题为
TL博士
没有使用特殊工具来收集信息(尽管有几个人建议使用相同的 OpenVAS 以使研究更加彻底和信息丰富)。 对于与乌克兰相关的知识产权的安全性(更多关于如何确定的信息,请参见下文),在我看来,情况相当糟糕(而且肯定比奥地利发生的情况更糟糕)。 尚未尝试或计划利用已发现的易受攻击的服务器。
首先:如何获得属于某个国家的所有IP地址?
其实很简单。 IP地址不是由国家自己生成的,而是分配给它的。 因此,有一个包含所有国家和属于它们的所有 IP 的列表(并且是公开的)。
每个人都可以
乌克兰拥有的 IPv4 地址几乎与奥地利一样多,确切地说超过 11 万个 11 个地址(作为比较,奥地利拥有 640 个地址)。
如果您不想自己使用 IP 地址(而且您不应该!),那么您可以使用该服务
乌克兰是否有未打补丁的 Windows 机器可以直接访问互联网?
当然,没有一个有意识的乌克兰人会开放对其计算机的此类访问。 或者会是吗?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l
找到了 5669 台可以直接访问网络的 Windows 计算机(在奥地利只有 1273 台,但数量很多)。
哎呀。 其中是否有任何可以使用自 2017 年以来已知的 ETHERRNALBLUE 漏洞进行攻击? 奥地利没有一辆这样的车,我希望乌克兰也不会找到它。 不幸的是,这没有用。 我们发现 198 个 IP 地址本身并没有堵住这个“漏洞”。
DNS、DDoS 和兔子洞的深度
关于Windows 就够了。 让我们看看 DNS 服务器有什么,它们是开放解析器,可用于 DDoS 攻击。
它的工作原理是这样的。 攻击者发送一个小型 DNS 请求,易受攻击的服务器会使用一个大 100 倍的数据包响应受害者。 繁荣! 企业网络可能会因如此大量的数据而迅速崩溃,而攻击需要现代智能手机可以提供的带宽。 还有这样的攻击
我们来看看乌克兰有没有这样的服务器。
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l
第一步是找到那些开放端口 53 的端口。 结果,我们得到了 58 个 IP 地址的列表,但这并不意味着所有这些地址都可以用于 DDoS 攻击。 必须满足第二个要求,即它们必须是开放解析器。
为此,我们可以使用一个简单的 dig 命令,并看到我们可以“挖掘” dig + 短 test.openresolver.com TXT @ip.of.dns.server。 如果服务器响应为检测到开放解析器,则可以将其视为潜在的攻击目标。 开放式解析器约占 25%,与奥地利相当。 就总数而言,这约占所有乌克兰 IP 的 0,02%。
在乌克兰你还能找到什么?
很高兴你问了。 查看开放端口 80 的 IP 及其上运行的内容会更容易(对我个人来说也是最有趣的)。
网络服务器
260 个乌克兰 IP 响应端口 849 (http)。 80 个地址对您的浏览器可以发送的简单 GET 请求做出了积极响应(125 状态)。 其余的都产生了一个或另一个错误。 有趣的是,有 444 台服务器发出了 200 的状态,而最罕见的一次响应是 853(请求代理授权)和完全不标准的 500(IP 不在“白名单”中)。
Apache 占据绝对主导地位 - 114 台服务器使用它。 我在乌克兰发现的最旧版本是 544,发布于 1.3.29 年 29 月 2003 日(!!!)。 nginx 以 61 台服务器位居第二。
11台服务器使用1996年发布的WinCE,并于2013年完成了补丁(奥地利只有4台)。
HTTP/2 协议使用 5 个服务器,HTTP/144 - 1.1,HTTP/256 - 836。
打印机...因为...为什么不呢?
2 HP、5 Epson、4 Canon,可通过网络访问,其中一些无需任何授权。
网络摄像头
在乌克兰,有很多网络摄像头在互联网上进行广播,这些摄像头是通过各种资源收集的,这已经不是什么新闻了。 至少有 75 个摄像头在没有任何保护的情况下将自身广播到互联网上。 你可以看看它们
接下来是什么?
乌克兰和奥地利一样都是小国,但在IT领域也面临着与大国相同的问题。 我们需要更好地了解什么是安全的、什么是危险的,设备制造商必须为其设备提供安全的初始配置。
另外,我收集合作伙伴公司(
来源: habr.com