Come posso portscan grandi sottoreti?

6

Ho bisogno di scansionare una sottorete diversi / 16 e a / 8 per vedere quali host sono attivi e, in aggiunta, se alcuni servizi sono in esecuzione su alcune porte selezionate. Ho provato vari strumenti come lo scanner IP arrabbiato, Nmap, lo scanner IP avanzato. Ma tutti si bloccano dopo un po 'e nessuno di loro completa le scansioni come richiesto.

Qual è il modo migliore per identificare server e servizi in una grande sottorete?

    
posta NULLZ 18.03.2013 - 13:40
fonte

5 risposte

11

Unicornscan è uno strumento noto per la scansione ad alta velocità di grandi blocchi di rete (ad esempio, l'ultimo I osservato è stato sostenuto 60 + mbps internet- scansioni basate).

Nmap in passato aveva sicuramente problemi di consumo di memoria con scansioni grandi, ma non ho visto quei problemi nelle versioni 5.x / 6.x quando eseguivo scansioni di porte 65k su diversi / 16s.

I problemi di memoria che ho incontrato sono tipicamente dovuti a ip_conntrack e sotto ci sono un paio di link raccomandati per modificare le impostazioni del kernel / ip_conntrack che possono aiutare nmap:

    
risposta data 18.03.2013 - 18:41
fonte
5

Beh, @TerryChia dice che sono sorpreso che nmap stia causando problemi a te, non penso di averlo mai visto in crash ..

Tuttavia, supponendo che lo sia, ci sono un paio di approcci che puoi prendere e che possono aiutarti.

  1. Rompere manualmente l'intervallo. Crea un file di testo con intervalli più piccoli e quindi automatizza il processo di kicking di una scansione di ciascun intervallo uno alla volta. Una volta ottenuti tutti i risultati è possibile aggregarli insieme per dare una visione d'insieme. Un esempio di uno script che puoi utilizzare per analizzare una directory piena di risultati nmap è qui
  2. Non avendo visto gli switch che stai usando è difficile fornire un consiglio esatto qui, ma se non lo fai già userei -sP e un intervallo di porte (specificato tramite -PS o -PU) per stabilire una lista di "up hosts" che puoi quindi scansionare, se hai bisogno di maggiori informazioni.
risposta data 18.03.2013 - 14:16
fonte
3

Hai indagato sul motivo degli strumenti che utilizzi in modo anomalo dopo un po '? Ho usato nmap per scansionare reti piuttosto grandi senza alcun problema.

In effetti, lo strumento nmap è stato utilizzato per eseguire la scansione di ampie porzioni di Internet senza problemi, come mostrato in questo presentazione defcon .

Potresti voler sperimentare con diversi flag nmap o provare a scansionare con una macchina diversa per testare le diverse possibilità per cui le scansioni potrebbero non riuscire.

Se davvero non è possibile eseguire la scansione dell'intera sottorete alla volta, dividere l'attività in più scansioni. Dovrebbe essere abbastanza facile da fare ...

    
risposta data 18.03.2013 - 13:47
fonte
3

Credo che nmap sia adatto per la scansione di un numero elevato di IP. Io stesso ho scansionato solo / 16 sottoreti con nmap ma HD Moore nel 2012 ha scannerizzato la intera Internet attraverso nmap . Tutto ciò di cui hai bisogno è giocare con gli argomenti della riga di comando di nmap. Quelli HD utilizzati per la scansione di Internet erano:

  1. - min-rate = 5000 -m 256 --min-host-group = 50000 -PS -p
  2. Corrisponde a --min-rtt-timeout a --max-rtt-timeout

Quindi immagino che nmap possa essere abbastanza efficace. Se è in grado di eseguire la scansione dell'intero intervallo IP su Internet, non avrà alcun problema a soddisfare i tuoi requisiti.

    
risposta data 19.03.2013 - 05:20
fonte
3

Di recente uno strumento interessante per questo scopo ha superficie. Si chiama massscan e il codice per esso può essere trovato in questo repository GitHub .

Una citazione dal README.

This is the fastest Internet port scanner. It can scan the entire Internet in under 6 minutes, transmitting 10 million packets per second.

It produces results similar to nmap, the most famous port scanner. Internally, it operates more like scanrand, unicornscan, and ZMap, using asynchronous transmission. The major difference is that it's faster than these other scanners. In addition, it's more flexible, allowing arbitrary address ranges and port ranges.

Questo sembra essere piuttosto veloce ma potrebbe essere troppo rumoroso a seconda dell'ambiente che stai scansionando. Il README ha più informazioni su come funziona lo strumento, quindi potresti voler indagare ulteriormente.

    
risposta data 04.11.2013 - 15:34
fonte

Leggi altre domande sui tag