Het internet gescand in drie minuten

Beveiligingsonderzoeker Robert Graham ontwikkelde Masscan, ‘s werelds snelste poortscanner. Zijn software verstuurt op een quadcore desktopcomputer met een dual-port 10 Gbps Ethernetkaart maar liefst 25 miljoen netwerkpakketjes per seconde, wat hem toelaat om het IPv4-adresbereik van het hele internet in nog geen drie minuten te scannen. Om die snelheid te bereiken, heeft Graham heel wat trucjes moeten uithalen. Aangezien de Linux-kernel niet geoptimaliseerd is voor dit scenario, heeft hij een driver geschreven die de pakketjes rechtstreeks naar de netwerkhardware stuurt zonder de kernel erbij te betrekken. Masscan maakt ook gebruik van een usermode tcp-stack en werkt op een asynchrone manier.

Ook Windows en OS X zijn ondersteund, maar op die platforms gaat de snelheid dramatisch omlaag naar zo’n 300.000 pakketjes per seconde. De reden? Enkel Linux laat blijkbaar toe om de kernel te omzeilen en rechtstreeks de netwerkhardware aan te spreken. Masscan ondersteunt veel van de commandline-opties van Nmap, dus wie die laatste scanner vaak gebruikt, kan onmiddellijk met Grahams software aan de slag. Aangezien Nmap synchroon werkt, ziet de uitvoer er echter wel wat anders uit: bij Nmap krijg je de resultaten per gescande computer, terwijl Masscan al bij elke gevonden open poort een resultaat toont. Uiteraard zullen de alarmbelletjes bij je internetprovider wel aan gaan als je plots zoveel netwerkverkeer genereert…

http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.htm