Masscan. Работаем по площадям.

Приветствую тебя, читатель!

Недавно задавался вопросом - "Вот выявил я в процессе мониторинга потенциально опасный IP-адрес или доменное имя, что дальше, с чего начать расследование инцидента?". Первое что можно сделать, это для безопасности заблокировать адрес на межсетевом экране, а дальше попытаться установить принадлежность и функциональность хоста. Любителям посканировать посвящается.

Особенно, когда вы видите что-то подобное :)

Определение функциональности хоста можно начать путём сканирования IP-адреса каким-нибудь сканером портов и сервисов, в подавляющем большинстве случаев это будет NMap.

Что-то вроде следующих команд из консоли (8.8.8.8 взят для примера):

nmap 8.8.8.8 (когда надо пробежаться по well-known ports и посмотреть что открыто)

или

nmap -sV -O 8.8.8.8 (когда хочется узнать версии сервисов и операционную систему)

Далее, конечно, может продолжится игра с ключами nmap: номера портов (-p 80,3306), режимы поиска хостов (-sU, -sS, -sP, -sT), специальные скрипты (--script smb-check-vulns.nse) и т.д. 

Долгое время меня это полностью устраивало, пока я не наткнулся на сканер - masscan. Из его очевидных плюсов могу выделить 2 вещи: скорость сканирования, наверное самый быстрый сканер из существующих, и форматы вывода результатов.   

Вот ссылка проекта на githab - https://github.com/robertdavidgraham/masscan 

Рассказывать про все ключи и варианты запуска не буду, опишу только самые интересные на мой взгляд.

Определить открыты ли 80 и 443 порты в диапазоне адресов:

masscan 188.140.244.0/24 -p80,443 --rate=100000 --wait=1

--rate  -  количество пакетов отправляемых в секунду

--wait  -  время ожидания отклика в секундах

masscan 188.140.244.0/24 -p80,443-445,8000-8089 --rate=100000 --wait=1

Определить все открытые TCP-порты:

masscan 188.140.244.106 -p0-65535 --rate=100000 --wait=1

Запись результатов сканирования в различные форматы:

masscan 188.140.244.106 -p0-65535 --rate=100000 --wait=1 -oJ scan.json   (JSON)

masscan 188.140.244.106 -p0-65535 --rate=100000 --wait=1 -oX scan.xml   (XML)

masscan 188.140.244.106 -p0-65535 --rate=100000 --wait=1 -oG scan.grep  (Grepable NMAP)

masscan 188.140.244.106 -p0-65535 --rate=100000 --wait=1 -oL scan.list (Simple list)

Просканировать весь Интернет:

masscan 0.0.0.0/0 -p0-65535

Дополнительно имеется возможность загрузки профиля сканирования из файла (masscan -c <файл конфига>), примеры приведены на странице проекта в githab.

Учитывая очень высокую скорость сканирования данный инструмент может быть очень востребован. Где-то читал что masscan может просканировать весь Интернет за 6 минут Естественно вся информация приведена в ознакомительных целях :)