目錄
- 環境介紹
- 工具簡介
- 資料包
-
- nmap的SYN掃描
- nc的TCP掃描
- masscan的掃描
- 對比masscan、nc、nmap的SYN掃描
- 規則
環境介紹
NAT模式:
- kali攻擊方
- win7受害者
- Metasploitable受害者
工具簡介
masscan号稱是目前是最快的網際網路端口掃描器,最快可以在六分鐘内掃遍網際網路。 masscan的掃描結果類似于nmap,在内部,它更像scanrand, unicornscan, and ZMap,采用了異步傳輸的方式。它和這些掃描器最主要的差別是,它比這些掃描器更快。而且,masscan更加靈活,它允許自定義任意的位址範和端口範圍。
參數很多,跟掃描相關的就是
-p
,用來指定掃描的端口範圍
masscan 192.168.239.130 -p1-600
資料包
前面介紹過nmap的SYN掃描,nc的TCP掃描,這裡對比觀察一下,避免引起誤報
對比下面的資料包發現:
- 三者的首部長度是不一樣的,可以以此為突破口
- masscan的特征展現在首部長度是20位元組,沒有tcp.option關鍵字,存在高并發行為(還是有可能觸發别的誤報,觸發的話,再對比優化了)
nmap的SYN掃描
nc的TCP掃描
masscan的掃描
masscan 192.168.239.130 -p1-600
觀察第2340、2344、2345三個資料包,發現masscan預設使用SYN掃描,當對方的80端口回應了之後,masscan就發送RST斷開連接配接
對比masscan、nc、nmap的SYN掃描
1:masscan預設使用SYN掃描,一旦建立第二次握手之後,masscan就發送RST斷開連接配接
見序号2340、2344、2345的資料包
2:nmap使用
-sS
掃描時,與masscan一樣,一旦建立第二次握手之後,nmap就發送RST斷開連接配接
見序号是91、93、99的資料包
3:nc使用
-nvz
掃描時,建立完整的三次握手之後,就發送Fin+Ack開始斷開連接配接
見序号是5732~5737的資料包
規則
alert tcp any any -> any any (msg:"masscan 端口掃描"; flags:S; window:1024; dsize:0; detection_filter:track by_src,count 100,seconds 5; tcp.header_len:=20; metadata:service check-ports; sid:7; rev:1;)
由于snort不支援
tcp.header_len
關鍵字,這裡剔除這個關鍵字之後,snort可以正常告警