Come posso portscan grandi sottoreti?

Unicornscan è uno strumento noto per la scansione ad alta velocità di grandi blocchi di rete (ad esempio, l'ultimo I osservato è stato sostenuto 60 + mbps internet- scansioni basate).

Nmap in passato aveva sicuramente problemi di consumo di memoria con scansioni grandi, ma non ho visto quei problemi nelle versioni 5.x / 6.x quando eseguivo scansioni di porte 65k su diversi / 16s.

I problemi di memoria che ho incontrato sono tipicamente dovuti a ip_conntrack e sotto ci sono un paio di link raccomandati per modificare le impostazioni del kernel / ip_conntrack che possono aiutare nmap:

• ip_conntrack: maximum limit of XXX entries exceeded (I have experimented with values of 256k+ w/apparent success)
  (also check out Tuning Linux firewall connection tracker ip_conntrack)
• Disabling ip_conntrack to save memory, restore happiness

Beh, @TerryChia dice che sono sorpreso che nmap stia causando problemi a te, non penso di averlo mai visto in crash ..

Tuttavia, supponendo che lo sia, ci sono un paio di approcci che puoi prendere e che possono aiutarti.

1. Rompere manualmente l'intervallo. Crea un file di testo con intervalli più piccoli e quindi automatizza il processo di kicking di una scansione di ciascun intervallo uno alla volta. Una volta ottenuti tutti i risultati è possibile aggregarli insieme per dare una visione d'insieme. Un esempio di uno script che puoi utilizzare per analizzare una directory piena di risultati nmap è qui
2. Non avendo visto gli switch che stai usando è difficile fornire un consiglio esatto qui, ma se non lo fai già userei -sP e un intervallo di porte (specificato tramite -PS o -PU) per stabilire una lista di "up hosts" che puoi quindi scansionare, se hai bisogno di maggiori informazioni.

Hai indagato sul motivo degli strumenti che utilizzi in modo anomalo dopo un po '? Ho usato nmap per scansionare reti piuttosto grandi senza alcun problema.

In effetti, lo strumento nmap è stato utilizzato per eseguire la scansione di ampie porzioni di Internet senza problemi, come mostrato in questo presentazione defcon .

Potresti voler sperimentare con diversi flag nmap o provare a scansionare con una macchina diversa per testare le diverse possibilità per cui le scansioni potrebbero non riuscire.

Se davvero non è possibile eseguire la scansione dell'intera sottorete alla volta, dividere l'attività in più scansioni. Dovrebbe essere abbastanza facile da fare ...

Credo che nmap sia adatto per la scansione di un numero elevato di IP. Io stesso ho scansionato solo / 16 sottoreti con nmap ma HD Moore nel 2012 ha scannerizzato la intera Internet attraverso nmap . Tutto ciò di cui hai bisogno è giocare con gli argomenti della riga di comando di nmap. Quelli HD utilizzati per la scansione di Internet erano:

1. - min-rate = 5000 -m 256 --min-host-group = 50000 -PS -p
2. Corrisponde a --min-rtt-timeout a --max-rtt-timeout

Quindi immagino che nmap possa essere abbastanza efficace. Se è in grado di eseguire la scansione dell'intero intervallo IP su Internet, non avrà alcun problema a soddisfare i tuoi requisiti.

Di recente uno strumento interessante per questo scopo ha superficie. Si chiama massscan e il codice per esso può essere trovato in questo repository GitHub .

Una citazione dal README.

This is the fastest Internet port scanner. It can scan the entire Internet in under 6 minutes, transmitting 10 million packets per second.

It produces results similar to nmap, the most famous port scanner. Internally, it operates more like scanrand, unicornscan, and ZMap, using asynchronous transmission. The major difference is that it's faster than these other scanners. In addition, it's more flexible, allowing arbitrary address ranges and port ranges.

Questo sembra essere piuttosto veloce ma potrebbe essere troppo rumoroso a seconda dell'ambiente che stai scansionando. Il README ha più informazioni su come funziona lo strumento, quindi potresti voler indagare ulteriormente.