少侠你在接下来进行的全内网端口探测的过程中,可能会遇到以下棘手的情况:
①需要对巨量的ip进行全端口探测;(nmap耗时太长,等的让你怀疑人生的那种) ② 高速度与低误报二者不可兼得;(鱼与熊掌不可兼得) ③有些服务器有着严格的防火墙策略;(tcp头改啥标志位怕也是不好混进去)
关于以上问题本文提出了恰当的解决方案,全文充满了作者独到的见解,不可不看呀;
资产统计中你拿到巨多的ip,需要为每个ip统计详细到每个端口的信息时,你有没有经历过漫长的等待,看着nmap缓慢的百分比进度,简直想卸载了nmap。
nmap的优势不在于进行如此大范围的资产探测;
而是对于少量ip进行细致的探测。
masscan和zmap则是此类擅长者。
关于nmap、zmap、masscan对比,此处不做赘述,请看下面这位老哥的文章;
https://www.freebuf.com/sectool/119340.html
简言之,zmap与masscan皆采用异步传输;
而且,在对任意地址端口的组合的探测时,masscan表现的更加灵活和出色;
但是,masscan和zmap都有一个无法忍受的误报率。
影响masscan误报率的因素有很多,主要有这么三个方面:发包速度、网络性能、tcp/ip堆栈冲突;
不同网络环境中网络的性能不同,且网络性能涉及到的因素很多,丢包率、抖动率、时延、包转发率等等,且网络性能这项是我们无法改变的,所以我们先把网络性能作为一个常量;
但是发包速度和tcp/ip堆栈冲突是我们能改变的。
理论上:
a、解决了堆栈冲突误报率会变低; b、发包速度越慢误报率越低;
但是发包速度和误报率之间并不是严格的正比关系,并且发包速度太低masscan就没有了使用意义。
所以,需要先来探究一下,怎样的网络性能下配置多少的发包速度可以兼顾速度与准确率。
我在本地网络做了一个关于masscan的小实验:
1、先测试一下本地网络最大能支持的包转发率,如下图所示
结果:表示包转发率的rate值一直在170-kpps~210kpps之间波动
2、测试一下rate为210kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测的开放端口数量为38个
3、测试一下rate为170kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测到开放端口数量为48个
4、测试一下rate为110kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测到开放端口数量为52个
5、测试一下rate为100kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测到开放端口数量为52个
6、测试一下rate为80kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测到开放端口数量为53
7、测试一下rate为50kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测到开放端口数量为53个
8、测试一下rate为10kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测到开放端口数量为53个
9、测试一下rate为1kpps的情况下扫描内网中24个ip的全端口,探测到的存活端口数量是多少。如下图所示
结果:探测到开放端口数量为53个
测试速度低于1kpps,就太慢了,就算结果更准确却没有意义了,所以低于1kpps的就不做测试了。
统计一下以上测试的结果:
转发率(kpps) | 210 | 170 | 110 | 100 | 80 | 50 | 10 | 1 |
---|---|---|---|---|---|---|---|---|
探测到的开放端口个数 | 38 | 48 | 52 | 53 | 53 | 53 | 53 | 53 |
我们可以发现在我当前的网络环境中,转发率为100kpps时是最合适的速度大小,可能在不同网络中会有一些差异。
以上是测试结果,我们每一次使用masscan总不可能都这么测吧,确实如此。
我分享一下我的经验:最合适的速度一般是在网络最大转发率的50%左右。
看完了速度与误报率的关系后,我们来看一下masscan的tcp/ip堆栈冲突。
其实呀,masscan是拥有独立的TCP/IP堆栈的;
在平时使用中,我发现当为masscan配置单独的ip时;
它的性能才能被充分发挥!!!误报率显著降低。
我们来看一下,当配置独立ip,转发率为100kpps时,其他情况完全不变,masscan的扫描结果如何?如下图所示
结果:探测到开放的的端口数量为157个
这与刚才的100kpps时发现的53个相比,几乎三倍!!!
在这种情况下我估算了一下它的速度:10分钟扫描1000个ip的全端口。
这是nmap速度的一千多倍,而且在准确度上几乎没有差别。
在获得ip的全端口探测结果之后,你并不能确定端口对应的服务是什么?
这时候就可以使用nmap了,nmap有着丰富的指纹库,可以为我们确定端口对应的服务版本。
先调用masscan库扫描,再调用nmap库扫描,如果ip端口数量过多,可以配合多线程;后面会完善一下代码再放在github上,这里先放出简略版。
以上代码实现如下:
还有开篇提到的最后一个问题,有些服务器有着严格的防火墙策略怎么办?
有防火墙,需要对其进行各种骚姿势的绕过时,masscan就显得很无力了。
这时还是nmap更为适合,配合python的多线程,速度也过的去。
过防火墙姿势有很多,感兴趣的可以去看《nmap渗透测试》这本书,这里只讲我平时常用的两种。
1、数据包分片
有些防火墙为了减少数据包压力,不会对数据包进行组合之后再检查,而是对单个数据包直接检查。
如下图所示
2、指定源端口
防火墙的存在往往会影响一些业务的工作,管理员很有可能会放行来自特定端口的数据包,比如说源端口53的dns服务。
如下图所示
参考文档:
《nmap渗透测试指南》 https://yq.aliyun.com/articles/99743?spm=a2c4e.11163080.searchblog.22.264e2ec1iwqogV https://github.com/robertdavidgraham/masscan
来自FreeBuf.COM