Vì mã nhận của ZMap khơng có trạng thái đối với mã gửi, SYN-ACK hợp lệ quay lại bất kỳ lúc nào trước khi quá trình qt hồn tất sẽ được ghi lại dưới dạng máy chủ lắng nghe. Để đảm bảo mức độ phủ sóng cao, cài đặt ZMap mặc định kết hợp độ trễ 8 giây theo kinh nghiệm sau khi đầu dò cuối cùng được gửi trước khi quá trình nhận kết thúc.
Ngược lại, Nmap duy trì thời gian chờ cho mỗi đầu dò. Trong mẫu thời gian “insane” Nmap mà nhà phát triển đã thử nghiệm, thời gian chờ ban đầu là 250 mili giây, theo thời gian đó ít hơn 85% máy chủ đáp ứng trong thử nghiệm của nhà phát triển đã phản hồi. Trong quá trình qt, thời gian chờ của Nmap có thể tăng lên 300 mili giây, tức là 93,2% đã phản hồi. Do đó, nhà phát triển mong đợi một lần quét Nmap thăm dò đơn với các giá trị thời gian này để xem 85–93% máy chủ mà ZMap tìm thấy, gần giống với giá trị quan sát được là 82,5%.
Với mặc định "insane" của Nmap, nó sẽ cố gắng gửi một thăm dò thứ hai sau một thời gian chờ. Phản hồi cho SYN đầu tiên hoặc thứ hai sẽ được coi là hợp lệ cho đến khi hết lần thứ hai, do đó, điều này có hiệu quả tăng thời gian chờ tổng thể lên 500–600 mili
26
giây, tại thời điểm đó nhà phát triển nhận được 98,2–98,5% phản hồi. Các phản hồi bổ sung có thể sẽ được tạo bởi SYN thứ hai. Nhà phát triển quan sát thấy rằng quá trình quét Nmap 2 đầu dị tìm thấy 99,1% số lượng máy chủ mà quá trình quét ZMap 1 đầu dị tìm thấy.
2. Ứng dụng và ý nghĩa bảo mật của ZMap
Khả năng qt khơng gian địa chỉ IPv4 trong vịng chưa đầy một giờ mở ra một loạt các khả năng nghiên cứu mới, bao gồm khả năng có được khả năng hiển thị vào các hệ thống phân tán không rõ ràng trước đây, hiểu việc áp dụng giao thức ở độ phân giải mới và phát hiện ra hiện tượng bảo mật chỉ có thể truy cập được với quan điểm toàn cầu. Tuy nhiên, quét tốc độ cao cũng tiềm ẩn các ứng dụng độc hại, chẳng hạn như tìm và tấn cơng các máy chủ dễ bị tấn cơng hàng loạt. Hơn nữa, nhiều nhà phát triển có định kiến trước rằng Internet quá lớn để có thể thống kê đầy đủ, vì vậy thực tế quét tốc độ cao có thể phá vỡ các mơ hình bảo mật hiện có, chẳng hạn như dẫn đến việc phát hiện ra các dịch vụ trước đây được cho là đã được giấu kỹ. Trong phần này, chúng tôi sử dụng ZMap để khám phá một số ứng dụng này.
2.1. Khả năng quét vào các hệ thống phân tán
Quét mạng tốc độ cao cung cấp cho các nhà nghiên cứu khả năng có một quan điểm thời gian thực mới về các hệ thống phân tán khơng rõ ràng trên Internet. Ví dụ: thương mại điện tử và các giao dịch web an toàn vốn dĩ phụ thuộc vào chứng chỉ TLS đáng tin cậy của trình duyệt. Tuy nhiên, hiện có rất ít sự giám sát đối với các tổ chức phát hành chứng chỉ (CA) đáng tin cậy của trình duyệt hoặc các chứng chỉ đã cấp. Hầu hết các CA không xuất bản danh sách các chứng chỉ mà họ đã ký, và do ủy quyền cho các CA trung gian, nên khơng biết nhóm thực thể nào có khả năng kỹ thuật để ký các chứng chỉ được trình duyệt tin cậy vào bất kỳ thời điểm nào.
Để khám phá tiềm năng này, chúng tơi đã sử dụng ZMap và trình tìm nạp chứng chỉ tùy chỉnh của chúng tôi để tiến hành quét thường xuyên trong năm qua và thực hiện phân tích trên các chứng chỉ cao cấp mới và chứng chỉ CA. Từ tháng 4 năm 2012 đến tháng 6 năm 2013, chúng tôi đã thực hiện 1,81 tỷ lượt bắt tay TLS, cuối cùng thu thập được 33,6 triệu chứng chỉ X.509 duy nhất, trong đó có 6,2 triệu chứng chỉ được trình duyệt tin cậy. Chúng tơi đã tìm thấy và xử lý trung bình 220.000 chứng chỉ mới, 15.300 chứng chỉ tin cậy của trình duyệt mới và 1,2 chứng chỉ CA mới mỗi lần quét. Trong lần quét gần đây nhất, chúng tôi đã xác định được 1.832 chứng chỉ ký đáng tin cậy của trình duyệt từ 683 tổ chức và 57 quốc gia. Chúng tôi đã quan sát thấy tổng cộng 3.744 chứng chỉ ký riêng biệt được trình duyệt tin cậy. Bảng 3 cho thấy các CA sung mãn nhất theo các chứng chỉ lá được cấp.
27