Všichni se tady bavíte svorně o tom, jak je Linux skvělý, ale nikoho ani nenapadlo o těch datech pochybovat. Dobrá značka namodro prodá cokoliv.
V Čechách ale není pouze 40000,- HTTP serverů, jak ServerCheck tvrdí, ani unikátních, ani celkem. Celkem je jich 140000 a unikátních 14000, Apache sice taky byl první, ale čísla jsou jiná...
ServerCheck nikdy netvrdil a netvrdí, že je v čechách 42 000 serverů. Jediné co ServerCHECK udělal, tak na konci měsíce července vzal TO CO MĚL v databází a na tomto vzorku udělal první kolo výsledku.
Nyní, o pár týdnů později je v databází o pár dalších set či tisíc serverů více. A na konci srpna bude uděláno totéž a spočtena další čísla. přesně tak jak to již nějaký ten pátek dělá Netcraft, který také začal se vzorkem pár desítek tisíc serverů a teď se pohybuje v milionech.
Neumíme si servery vycucat z prstu a nemáme chuť prohledávat každý A zaznam z .CZ domény. A proto také netvrdím nic o tom kolik serverů je či není v Čechách.
Nehledejte A záznamy. Hledejte nmapem otevřený port 80. Chcete-li, dodám Vám rozsahy IP adres, které jsou přiděleny českým poskytovatelům.
BTW chtělo by to ještě ověřit, zda obsah stránky není jedním z několika standardních nastavením cca deseti až dvaceti nejpoužívanějších software (Apache v různých distribucích, M$ a proxy od Software602) a takové servery vyřadit. Tuto činnost lze zcela automatizovat a provádět ji periodicky. Český internet není tak velký, aby nešlo oscanovat všechny IP adresy během jednoho dne.
Rozsahy IP mame, nmap mame - ma to jeden hacek, mass scanning hostu v Ceske republice je neco, proti cemu bych okamzite zahajil krizove tazeni - a tak to rozhodne NEBUDU delat. Stejne jako to rozhodne nedela zminovany Netcraft.
Co navic, neresi to problem tak jako tak - rada ceskych firem ma weby na IP ktere nepatri do ceskeho prideleneho prostoru ani omylem.
Netcraft to IMHO nedělá především kvůli tomu, že v takovém rozsahu by to už nebylo myslitelné. Proč bojovat proti scanningu? Kvůli provozu? Kvůli etice?
Co se týče provozu, je na každou IP adresu potřeba vyslat jeden packet s velikostí 56 bajtů, a z živých IP se posléze jeden vrátí. Počítám-li správně, pak při přibližně 2 mil. IP adres (přesněji 1,78 mil.) je odchozí provoz něco přes 100 MB. Živých IP adres je relativně málo, určitě ne víc než 10%. Připočtěme ovšem, že některé firewally posílají zpět ICMP pakety, atp. Celkový objem provozu bych odhadl na 150 MB, což není tak hrozné, zvláště, uvážíme-li, že scanovat lze v noci. Další provoz samozřejmě generuje samotný ServerCheck.
Co se týče etičnosti takového počínání, nespatřuji v tom problém. Kdokoli připojí svůj počítač k internetu, musí počítat s tím, že mu na něj budou posílány pakety z celého světa. Scanování portu 80 neslouží k odhalení či dokonce využívání bezpečnostních děr. Kdo server neprovozuje, s největší pravděpodobností si scanování ani nevšimne, kdo ano a otevřel jej celému světu, snad počítá s tím, že na ten server také někdo přistoupí. No ne?
Druhá námitka je rozumnější, ale zeptám se: je k dispozici nějaká statistika (nebo alespoň hrubý odhad), kolik serverů v ServerChecku je umístěno mimo IP rozsahy, routované přes NIX? A co je to za servery, že jim nezáleží na tom, jak rychlý přístup k nim budou mít čeští uživatelé internetu?
Abychom mohli tvrdit, že uváděná čísla jsou pravda, museli jsme provést i zmiňovaný scanning.
První problém byl a je postoj provozovatelů serverů, při požadavcích na standardní porty se mnoho server nám to přidalo 3-10 telefonáty denně, co že to kutíme za nekalou činnost. Když jsme vysvětlili, že ta data nesbíráme jen od nich, ale ode všech, výtky nabrali na intenzitě. Výsledkem je podmíněné vypovězení připojení od Contactelu s odkazem na neetické chování.
Druhý je objem provozu, mass scanning co do objemu není tak problematický, ale připojují se problémy související se zpracováním dat. Nejen zjistit číslo kolik, ale i co a další, znamená vznést standartní požadavek HEAD. Ale spousta serverů vrací "Server se připravuje..." nebo něco podobně podnětného - v naší studii jsme šli proto ještě dál. Odfiltrujeme tyto "fake" weby (HTTP odpověď routerů, technické problémy, neexistující servery apod.) což už znamená i použití metody GET. Na konci máte 5GB databázi dat s mnoha zajímavými výsledky - neaktivní (čti "spekulativní") domény, použité OS, použité server software, nejen HTTP, ale i SMTP, POP3, IMAP4...
Ano, když scanujete i POP3 a IMAP, tak se nedivím, že se to administrátorům těch strojů nezdá. Já bych se taky zlobil. No, teda spíš bych obojí zakázal, resp. povolil jenom přes SSL. Ale to je zas jiná pohádka. :)
Jestli jste zjišťovali použitý OS nmapem, tak se protestům nedivím. Na druhou stranu, logujeme přístupy na neexistující IP adresy a porty, ne moc agresivně, a každý týden jde o přibližně 15000 odchycených paketů. To bychom se zbláznili posílat protestní maily.
Jinak je pro plošný scanning dobrou metodou nebrat IP adresy za sebou, ale z různých bloků - možnost spuštění nějakého antiscanu se tím minimalizuje.
Proc bojovat proti scanningu ? Protoze je to neslusnost. A NENI pravda, ze pripojenim pocitace k Internetu davam implicitni souhlas k jakekoliv komunikaci z celeho sveta na tento stroj, coz je podobne tomu, ze ziskanim e-mail adresy nedavam implicitni souhlas aby mi kdokoliv na ni cokoliv posilal. Scanning a spamming maji spolecneho vice nez jen to, ze podobne zneji.
Jinak je to ale cele na delsi filosoficky zamerenou debatu.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
