Archive

Posts Tagged ‘synscan’

Protected: udp端口扫描程序

July 31st, 2013 Enter your password to view comments.

This content is password protected. To view it please enter your password below:

在线CIDR Calculator 计算器 子网掩码计算器 IP段计算器

May 31st, 2012 No comments

在用synscan的时候,指定网络进行扫描需要给一个CIDR的掩码,这个在线的程序可以实现

 

http://www.subnet-calculator.com/cidr.php

Categories: 技术点滴 Tags: ,

为2W台服务器搭建分布式端口扫描系统

October 8th, 2011 10 comments

#Changelog

20111021 –> 增加修改iptables的最大会话数,提高扫描速度。

 

一、序言

本人在小公司里打酱油,但时刻关注着大公司的玩法,不谦虚的说俺是很有上进心的。基于《几个linux端口扫描器》这个文章,http://baoz.net/linux-port-scanner/ ,往前走一步就是分布式的了。

Read more…

几个Linux端口扫描器

October 4th, 2011 7 comments

端口扫描看似是一个挺简单的事,但是要做到80分还不是太容易的。

例如,主机2K台,端口1-65535,独立一台主机扫描,不搞分布式。无误报、无漏报、一天内扫完。

弄一个对比列表出来。

内容要包括设备(OS)类型、时间、遗漏端口情况,软件维护活跃程度、用户体验(能否抓banner、能否加载IP列表,日志输出,二次编辑)

http://seclists.org/nmap-dev/2008/q1/32 08年在nmap-dev的邮件列表里讨论过一部分

windows里端口扫描效果不错的,有dsns,gfi languard。后者有bug,死活只能3线程。前者难以扫 1-65535,虽然可以在配置文件里面批量加端口。

在评价的过程中,tcpdump是一个非常好的鉴别和诊断工具。

经验输出:速度快的,都是stateless的,这边发包,那边立刻抓包分析。有状态的握手来握手去,搞不好再重传个一两次,慢的一塌糊涂。

最后看样子是synscan最有搞头。sslog用日期为log命名,每天每2小时扫一次,综合结果,规避漏报。
#scan port every 3 hours
0 */3 * * * /data/portscan/portscan.sh

#每天4 am到7 am点之间,每隔59分钟扫一次,是24小时表示法

0,59 4-7  * * * /data/portscan/portscan.sh

cat portscan.sh
#!/bin/bash
killall -9 sslog
nohup sslog /data/portscan/date +%m%d eth1 > /dev/null 2>&1 &
nohup synscan /data/portscan/ip.txt eth1 3 1-65535 > /dev/null 2>&1 &

然后想办法用nmap、grabbb或synscand抓banner,应用识别能力最好可能还是nmap。

把端口弄出来给nmap用

portparse /data/portscan/date +%m%d

把端口弄出来做统计,例如开XX端口的IP有多少个,YY IP开了多少个端口,跟踪这些状态以发现端口的变更

perl -p -i -e  ‘s/:/ /g’ /data/portscan/date +%m%d | sort  | uniq | awk ‘{print $2}’ | sort |uniq |perl -p -i -e ‘s/\s/,/g’

 

3个并发2小时,5个并发74分钟,8个并发59分钟,5个并发跑2M的带宽,8个能跑到5M。5个并发是比较不错的选择。3个并发时多发现了一个端口。

修改参数,提高扫描速度

修改 –> net.ipv4.netfilter.ip_conntrack_max = 131072

查看当前会话数 –> net.ipv4.netfilter.ip_conntrack_count = 75354

Read more…