我掃描了烏克蘭

今年二月，奧地利人克里斯蒂安·哈甚切克（Christian Haschek）在他的部落格上發表了一篇有趣的文章，題為 “我掃描了整個奧地利”。 當然，我對如果重複這項研究會發生什麼感興趣，但是是在烏克蘭。 幾週的全天候資訊收集，幾天的時間來準備文章，在研究過程中，與我們社會的各個代表進行對話，然後澄清，然後了解更多資訊。 請剪下...

TL博士

沒有使用特殊工具來收集資訊（儘管有幾個人建議使用相同的 OpenVAS 以使研究更加徹底和資訊豐富）。 對於與烏克蘭相關的智慧財產權的安全性（更多關於如何確定的信息，請參見下文），我認為情況非常糟糕（而且肯定比奧地利發生的情況更糟）。 尚未嘗試或計劃利用已發現的易受攻擊的伺服器。

首先：如何取得屬於某個國家的所有IP位址？

其實很簡單。 IP位址不是由國家自己產生的，而是分配給它的。 因此，有一個包含所有國家和屬於它們的所有 IP 的清單（並且是公開的）。

每個人都可以 下載它然後過濾它 grep 烏克蘭 IP2LOCATION-LITE-DB1.CSV> ukraine.csv

Christian 創建的一個簡單腳本，允許您將清單變成更可用的形式。

烏克蘭擁有的 IPv4 位址幾乎與奧地利一樣多，確切地說超過 11 萬個 11 個位址（作為比較，奧地利擁有 640 個位址）。

如果您不想自己使用 IP 位址（而且您不應該！），那麼您可以使用該服務 Shodan.io.

烏克蘭是否有未打補丁的 Windows 機器可以直接存取網路？

當然，沒有一個有意識的烏克蘭人會開放對其電腦的此類存取。 或者會是嗎？

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

找到了 5669 台可以直接存取網路的 Windows 電腦（在奧地利只有 1273 台，但數量很多）。

哎呀。 其中是否有任何可以使用自 2017 年以來已知的 ETHERRNALBLUE 漏洞進行攻擊？ 奧地利沒有一輛這樣的車，我希望烏克蘭也不會找到它。 不幸的是，這沒有用。 我們發現 198 個 IP 位址本身並沒有堵住這個「漏洞」。

DNS、DDoS 和兔子洞的深度

關於Windows 就夠了。 讓我們看看 DNS 伺服器有什麼，它們是開放解析器，可用於 DDoS 攻擊。

它的工作原理是這樣的。 攻擊者發送一個小型 DNS 請求，易受攻擊的伺服器會使用大 100 倍的封包回應受害者。 繁榮！ 企業網路可能會因如此大量的數據而迅速崩潰，而攻擊需要現代智慧型手機可以提供的頻寬。 還有這樣的攻擊 常見的 甚至在 GitHub 上。

我們來看看烏克蘭有沒有這樣的伺服器。

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

第一步是找到那些開放連接埠 53 的連接埠。 結果，我們得到了 58 個 IP 位址的列表，但這並不意味著所有這些位址都可以用於 DDoS 攻擊。 必須滿足第二個要求，即它們必須是開放解析器。

為此，我們可以使用一個簡單的 dig 命令，並看到我們可以「挖掘」 dig + 簡短的 test.openresolver.com TXT @ip.of.dns.server。 如果伺服器回應為偵測到開放解析器，則可以將其視為潛在的攻擊目標。 開放式解析器約佔 25%，與奧地利相當。 就總數而言，這約佔所有烏克蘭 IP 的 0,02%。

在烏克蘭還能找到什麼？

很高興你問了。 查看開放連接埠 80 的 IP 及其上運行的內容會更容易（對我個人來說也是最有趣的）。

網路伺服器

260 個烏克蘭 IP 回應埠 849 (http)。 80 個位址對您的瀏覽器可以發送的簡單 GET 請求做出了積極回應（125 狀態）。 其餘的都產生了一個或另一個錯誤。 有趣的是，有 444 台伺服器發出了 200 的狀態，而最罕見的一次回應是 853（請求代理授權）和完全不標準的 500（IP 不在「白名單」中）。

Apache 佔據絕對主導地位 - 114 台伺服器使用它。 我在烏克蘭發現的最舊版本是 544，發佈於 1.3.29 年 29 月 2003 日（！！！）。 nginx 以 61 台伺服器位居第二。

11台伺服器使用1996年發布的WinCE，並於2013年完成了補丁（奧地利只有4台）。

HTTP/2 協定使用 5 台伺服器，HTTP/144 - 1.1，HTTP/256 - 836。

印表機...因為...為什麼不行？

2 HP、5 Epson、4 Canon，可透過網路訪問，其中一些無需任何授權。

網路攝影機

在烏克蘭，有許多網路攝影機在網路上進行廣播，這些攝影機是透過各種資源收集的，這已經不是什麼新聞了。 至少有 75 個攝影機在沒有任何保護的情況下將自身廣播到網路上。 你可以看看它們 這裡.

接下來是什麼？

烏克蘭和奧地利一樣都是小國，但在IT領域也面臨與大國相同的問題。 我們需要更了解什麼是安全的、什麼是危險的，設備製造商必須為其設備提供安全的初始配置。

另外，我收集合作夥伴公司（成為一個合夥人（參與者），這可以幫助您確保自己的 IT 基礎架構的完整性。 我計劃要做的下一步是審查烏克蘭網站的安全性。 不要切換！

來源： www.habr.com