What will happen if you scan whole internet in a vps/direct server?

目前市场上有很多的开源的端口扫描器供大家选择,如基于 Syn 半握手的 Zmap 和 Masscan、具备多种握手扫描方式的 nmap,与一些小型的端口扫描器。

其中 zmap 和 masscan 为全网扫描做了大量的优化,为此我们可以使用 zmap 和 masscan 在不到一个小时内完成对全网单端口的扫描。

但是实际情况情况往往没有那么美好,笔者曾经在多个服务器提供商的机房里面执行过网络空间扫描,将经验分享给大家。

(这些事情发生在 2018 年到 2019 年之前,具有时效性)

1. 云服务厂商

云计算是一个十分伟大的发明,我是云计算的追随者。

在这里这里挑选三家云服务厂商举例子。

a. GCP

GCP 是 Google 家的云计算服务,提供$300美金的免费试用。

笔者曾经在 GCP 云上扫描全球80 端口,结果收到了 GCP的Policy Violation邮件。

We have recently detected that your Google Cloud Project xxxxxx has been performing intrusion attempts against a third-party and appears to be violating our Terms of Service. Specifically, we detected port scanning on remote port 22 originating from your Compute Engine project xxxxxxx VM instance-2:us-central1-a targeting more than 1087958 IP addresses between xxxxxxxx (Pacific Time). Please check the traffic originating from all your instances and fix any other instances that may be impacted by this.

我回复了这封邮件:表示我的操作只有 port-scanning 和 banner grab,没有其他有危害性的请求。以及我在 80 端口放了自己的邮箱来处理 spam 的请求,应该问题不大。然后威胁就解除了。

b. AWS

AWS 是全球最厉害的云计算服务提供商。笔者也在AWS 的EC2 机器中做了扫描。扫描不久之后 AWS Abuse 团队发来了问候短信:

Hello,

We’ve received a report(s) that your AWS resource(s) AWS ID: xxx Region: us-east-1 EC2 Instance Id: xxx [ipaddress] has been implicated in activity which resembles attempts to access remote hosts on the internet without authorization. Activity of this nature is forbidden in the AWS Acceptable Use Policy (https://aws.amazon.com/aup/). We’ve included the original report below for your review. Please take action to stop the reported activity and reply directly to this email with details of the corrective actions you have taken. If you do not consider the activity described in these reports to be abusive, please reply to this email with details of your use case.

我给了和 gcp 一样的回复,然后 AWS 表示这个是违反 TOS 的,要求我马上停止。

AWS ID: xxxx Region: us-east-1 EC2 Instance ID: xxx [ipaddress]

has been implicated in activity which resembles scanning remote hosts on the internet for security vulnerabilities. Activity of this nature is forbidden in the AWS Acceptable Use Policy (https://aws.amazon.com/aup/). We’ve included the original report below for your review.

Please take action to stop the reported activity and reply directly to this email with details of the corrective actions you have taken. If you do not consider the activity described in these reports to be abusive, please reply to this email with details of your use case

c. Aliyun

aliyun 也是国内比较厉害的云计算服务提供商。

在aliyun 扫描会被告警,会被进行短暂的端口屏蔽,但是不会有其他的问题。

尊敬的 xxxx,您的云服务器(x.x.x.x)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:3306)的访问,阻断预计将在xxxxxx时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后。

d. Qcloud

腾讯云没有管port scan 的行为。

e. m247.ro

罗马尼亚的网络法律比较宽松,所以我在罗马尼亚买了一个服务器测试全球扫描。扫描当天收到了来自 hetzner.de(一家规模很大的主机提供商)、csirt.muni.cz(马萨里克大学计算机安全事件响应小组)、cert.br(巴西的 Cert)的投诉,云主机商将这些 投诉转给了我,让我自己处理。

2. 物理机厂商

a. ovh

我有一个自己用的独立服务器,购买的 ovh 家的产品。

第一次扫描10min之后被断网。

第二次扫描 10min 之后表示需要写保证书才能使用。

所有不要用 ovh 家的服务器做 portscaning。

后话:(现在这台机器已经成为 tor Exit Node了)

b. 某抗投诉,支持 PortScaning 的厂商

该厂商扫描丢包率很高,高速扫描会丢掉大量的 syn 包。

验证丢包率的方法:zmap -p 80 >/dev/null

一般的命中率在 15%-17%左右,如果低于这个数值,则该厂商的网络环境存在问题。

总结

  1. GCP 上可以小幅度的做 PortScaning,但是需要为出口流量付费,这个费用是$0.6 /gb,还是很贵的。
  2. AWS 上不能做PortScaning,除非是有紧急需求。也存在流量费用贵的问题。
  3. OVH 上的机器绝对不能做 PortScaning,不然会被封停机器。
  4. 国内云如 Aliyun、Qcloud 不建议用来做扫描,存在法律风险。
  5. 罗马尼亚服务器提供商对这种端口扫描会比较友好,可以选择。

如果你有扫描全网端口的需求,或者想要购买扫描全网的机器,欢迎交流。

(ps: Google搜索 Bulletproof VPS,可以获得大量的抗投诉机房。)

Leave a Reply

Your email address will not be published. Required fields are marked *