入侵检测——masscan(扫描篇)

最新推荐文章于 2024-07-12 09:01:13 发布
最新推荐文章于 2024-07-12 09:01:13 发布
阅读量5.2k 收藏 17
点赞数 2
分类专栏: 入侵检测 文章标签: masscan snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/115656891
版权
本文详细比较了masscan、nmap和nc的SYN扫描技术,探讨了它们在数据包特征、扫描行为和规则应用上的区别,以及如何避免误报。通过实例解析,揭示了masscan的高并发特性及其在端口扫描中的优势。
摘要由CSDN通过智能技术生成

目录

环境介绍

NAT模式:

  • kali攻击方
  • win7受害者
  • Metasploitable受害者

工具简介

masscan号称是目前是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网。 masscan的扫描结果类似于nmap,在内部,它更像scanrand, unicornscan, and ZMap,采用了异步传输的方式。它和这些扫描器最主要的区别是,它比这些扫描器更快。而且,masscan更加灵活,它允许自定义任意的地址范和端口范围。

参数很多,跟扫描相关的就是-p,用来指定扫描的端口范围

masscan 192.168.239.130 -p1-600

数据包

前面介绍过nmap的SYN扫描,nc的TCP扫描,这里对比观察一下,避免引起误报
对比下面的数据包发现:

  1. 三者的首部长度是不一样的,可以以此为突破口
  2. masscan的特征体现在首部长度是20字节,没有tcp.option关键字,存在高并发行为(还是有可能触发别的误报,触发的话,再对比优化了)

nmap的SYN扫描

在这里插入图片描述

nc的TCP扫描

在这里插入图片描述

masscan的扫描

masscan 192.168.239.130 -p1-600

观察第2340、2344、2345三个数据包,发现masscan默认使用SYN扫描,当对方的80端口回应了之后,masscan就发送RST断开连接
在这里插入图片描述

对比masscan、nc、nmap的SYN扫描

1:masscan默认使用SYN扫描,一旦建立第二次握手之后,masscan就发送RST断开连接
见序号2340、2344、2345的数据包
在这里插入图片描述

2:nmap使用-sS扫描时,与masscan一样,一旦建立第二次握手之后,nmap就发送RST断开连接
见序号是91、93、99的数据包
在这里插入图片描述
3:nc使用-nvz扫描时,建立完整的三次握手之后,就发送Fin+Ack开始断开连接
见序号是5732~5737的数据包
在这里插入图片描述

规则

alert tcp any any -> any any (msg:"masscan 端口扫描"; flags:S; window:1024; dsize:0; detection_filter:track by_src,count 100,seconds 5; tcp.header_len:=20; metadata:service check-ports; sid:7; rev:1;)

由于snort不支持tcp.header_len关键字,这里剔除这个关键字之后,snort可以正常告警
在这里插入图片描述

lainwith
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
masscan扫描结果按端口排序(单IP)
11-27
masscan扫描结果保存为txt,使用这个脚本进行按端口排序,目前只能排序一个IP
基于机器学习的端口扫描入侵检测.pdf
04-12
作者郭楚栩、施勇和薛质基于2018年Daniel Fraunholz等人提出的入侵检测模型,构建了一个基于机器学习的端口扫描检测系统。该系统的关键在于特征提取和模型训练。特征提取是从原始数据中挑选出有助于区分正常流量和...
扫描工具Masscan
Snoopied的博客
05-05 1342
据说这是最快速的互联网端口扫描工具,能够在6分钟扫描整个互联网。安装:git clone https://github.com/robertdavidgraham/masscan.git /opt/masscancd /opt/masscanmakemake install运行:cd /opt/masscan/bin./masscan -p80,8000-8100 10.0.0.0/8-p80,8...
内网隐蔽扫描,Nmap高级用法(非常详细)零基础入门到精通,收藏这一就够了
最新发布
leah126的博客
07-12 1630
Nmap(Network Mapper)是一款开源免费的网络发现和安全审计工具,主要用于扫描目标主机的开放端口、操作系统类型、启用的服务等信息。以下是Nmap的一些常见使用介绍「主机发现」:Nmap可以通过发送不同类型的探测包(如ICMP echo请求、TCP SYN包等)来检测目标主机是否在线。常用命令如-sn(Ping扫描,只进行主机发现,不进行端口扫描)和-PE/PP/PM(使用ICMP echo、timestamp、netmask请求包发现主机)。「端口扫描
极速扫描masscan
weixin_44617541的博客
04-29 6801
极速扫描masscan 前言 作为一款扫描器软件,masscan最大的优势大概在于其性能方面的优势,理论上其可以每秒钟发送2500万个探测数据包。 使用需谨慎,不要太嚣张的使用 一、masscan是什么? 扫描互联网全部IP地址的一个指定端口,大约也就需要3分钟左右的时间,而且同时支持TCP和UDP协议的端口扫描。 二、使用步骤 命令格式 masscan <ip addresses/ranges> -P ports options 地址范围 1.1.1.1-1.1.1.10。 1.0.0
masscan一键扫描整个互联网的端口(KALI工具系列五)
LNN0212的博客
05-22 1763
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux发行版,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。这是一个互联网规模的端口扫描器。它可以在 5 分钟内,每秒传输1000 万个数据包,来自一台机器。它的用法(参数、输出)类似于 nmap,是著名的端口扫描器。
端口扫描神器:Masscan 保姆级教程(附链接)
Flag少侠的博客
02-05 4254
端口扫描神器:Masscan 保姆级教程
Masscan:最快的互联网IP端口扫描
whatday的专栏
05-08 6842
masscan的扫描结果类似于nmap(一个很著名的端口扫描器),在内部,它更像scanrand, unicornscan, and ZMap,采用了异步传输的方式。它和这些扫描器最主要的区别是,它比这些扫描器更快。而且,masscan更加灵活,它允许自定义任意的地址范和端口范围。 安装配置 在Debian/Ubuntu系统中,安装方法如下: $ sudo apt-g
天融信入侵检测系统用户手册.pdf
08-26
天融信入侵检测系统用户手册提供了详尽的指导,帮助用户理解和操作天融信的TopSentry3000入侵检测系统。该系统是专为监控网络和系统安全而设计的,通过检测和分析网络流量,能及时发现任何可能违反安全策略的行为...
入侵检测技术.docx
06-19
入侵检测技术是网络安全领域的重要组成部分,其目的是检测和防止计算机系统和网络资源遭受恶意使用,包括外部入侵和内部非授权行为。入侵检测技术通过监视、分析活动、审计系统、识别模式和异常行为来确保系统安全。...
入侵检测记录表.docx
08-10
1. **事件类型**:入侵检测系统(IDS)会分类不同类型的事件,如网络攻击、异常操作、端口扫描和不正常数据流等。网络攻击可能包括拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)、缓冲区溢出攻击等。异常操作...
masscan端口扫描工具
06-20
利用masscan进行端口扫描,可以设置IP段和端口范围,利用大并发进行扫描,效率极高
masscan_to_nmap:基于masscan和nmap的快速端口扫描和指纹识别工具,优化版本(获取标题,页面长度,过滤防火墙)
05-07
简介 基于masscan和nmap的快速端口扫描和指纹识别工具 整个项目都是抄袭来的 抄袭 能抄袭就抄袭,因为菜 由于使用的时候遇到一些问题,比较蜜汁就自己拼凑了一下 增加ip处理,多线程处理,过滤防火墙ip,获取http请求标题 很多人反馈扫描后结果为空: 1.本地网络不支持masscan扫描 2.ip存在防火墙,端口数超过50个被剔除 3.建议使用阿里云进行扫描能稳定进行masscan扫描丢包率较低 有问题和需求请Issues 安装使用 安装(建议把masscan编译在这个masscan_to_nmap目录同级,这样就不用修改代码了) Centos 安装 Masscan (版本GIT version: 1.0.5-86-ga025970,版本低会导致-oJ masscan.json格式出现偏差导致报错) yum install git gcc make libpcap-devel yu
Masscan:大容量IP端口扫描器-开源
05-25
Masscan是Internet规模的端口扫描程序,能够在6分钟或更短的时间内扫描整个Internet。 它被认为是最快的端口扫描程序,与著名的端口扫描程序nmap相似,并且像端口扫描程序scanrand和unicornscan一样,它使用异步传输。 但是,在涉及任意端口和地址范围时,它更加灵活。 Masscan不仅可以检测端口何时打开,还可以检查横幅。 尽管它对于较小的内部网络很有用,但在设计时要考虑到整个互联网。 但是请务必注意,Masscan使用其自己的自定义TCP / IP堆栈,因此,除非进行了某些配置,否则简单的端口扫描以外的任何其他操作都可能导致与本地TCP / IP堆栈发生冲突。
目标识别与区域入侵检测
07-11
1.区域入侵检测是通过识别目标之后或者目标坐标位置,判断目标坐标是否在所规定的区域内出现,使用在电子...3.算法实现与项目配置可以参数我的博客:基于目标识别的区域入侵检测——C++实现从获取区域到检测入侵目标
masscan使用
未完成的歌~的博客
02-20 790
masscan 是一种快速的端口扫描工具,旨在快速扫描大量IP地址和端口。masscan的发包速度非常快,在windows中,它的发包速度可以达到每秒30万包;在Linux中,速度可以达到每秒160万。masscan在扫描时会随机选择目标IP,所以不会对远程的主机造成压力。默认情况下,masscan的发包速度为每秒100包,为了提高速度,可以设置为。下载链接。
快速批量破解密码-端口扫描masscan+hydra联动脚本
归零者的博客
01-24 445
端口扫描工具masscan速度超快,扫描一个B类地址的1个端口,10分钟之内即可扫描完,扫描出的地址再配合hydra进行定向服务爆破。
推荐开源项目:dnmasscan - 高效批量域名扫描利器
gitblog_00048的博客
06-12 340
推荐开源项目:dnmasscan - 高效批量域名扫描利器 dnmasscanA script that can resolve an input file of domains and scan them with masscan项目地址:https://gitcode.com/gh_mirrors/dn/dnmasscan 项目介绍 dnmasscan 是一个基于 Bash 脚本的工具,它自...
【端口扫描工具】mascan核心使用
06-13 4420
masscan】快速上手
入侵检测和漏洞扫描的常见问题
06-06
入侵检测和漏洞扫描是网络安全中常用的两种安全技术,以下是它们常见的问题: 1. 误报和漏报:入侵检测和漏洞扫描有可能会出现误报和漏报问题,误报是指将正常的网络流量或应用程序误认为是攻击行为,漏报是指未能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值