一文了解端口掃描工具——Masscan

作者：林甜甜，單位：中國移動智慧家庭運營中心

網(wǎng)絡端口掃描是計算機網(wǎng)絡安全評估中非常重要的一部分。它用于檢測目標主機上開放的端口，從而幫助網(wǎng)絡管理員和安全專家發(fā)現(xiàn)潛在的漏洞和安全風險。Masscan是一款強大而高效的開源端口掃描工具，具有令人矚目的性能，能夠在極短的時間內(nèi)掃描大量ip和端口。本文將詳細介紹Masscan的技術原理、特點以及其在網(wǎng)絡安全評估和漏洞探測中的重要作用。

1、Masscan介紹

Masscan是一款高速端口掃描工具，具備出色的掃描效率和大規(guī)模掃描的能力，支持TCP和UDP協(xié)議的掃描，并能夠根據(jù)用戶的需求指定多個目標和端口。同時，Masscan還采用了網(wǎng)絡性能優(yōu)化技術，充分利用操作系統(tǒng)的資源和多核處理能力，實現(xiàn)了卓越的掃描效率和吞吐量。使用Masscan能夠幫助用戶快速了解目標主機的服務和漏洞情況，并提供靈活的輸出格式和報告，方便進一步的分析和處理。

Masscan的特點：

1）高速掃描：Masscan以其高速的掃描能力而著稱，號稱可以在5分鐘內(nèi)掃描整個互聯(lián)網(wǎng)，從一臺機器每秒傳輸1000萬個數(shù)據(jù)包。

2）繞過限制：Masscan繞過操作系統(tǒng)的網(wǎng)絡堆棧限制，直接發(fā)送原始數(shù)據(jù)包，提高掃描效率，并允許更多的自定義掃描選項。

3）異步發(fā)送：通過異步發(fā)送數(shù)據(jù)包，Masscan能夠同時發(fā)送多個數(shù)據(jù)包，實現(xiàn)并發(fā)掃描，進一步加快掃描速度。

4）靈活的輸出格式：Masscan支持多種輸出格式，包括文本、XML和JSON，方便結果分析和后續(xù)處理。

2、Masscan的技術原理

Masscan是由Robert David Graham開發(fā)的網(wǎng)絡端口掃描工具，其技術原理基于異步傳輸和自定義的TCP/IP協(xié)議棧。相比傳統(tǒng)的端口掃描工具，Masscan采用并行異步傳輸?shù)姆绞?，充分利用現(xiàn)代計算機的多核處理能力和高速網(wǎng)絡接口，使得掃描速度大幅提升。

2.1 自定義TCP/IP協(xié)議棧

為了實現(xiàn)更高的掃描性能，Masscan采用了自定義的TCP/IP協(xié)議棧。相比使用操作系統(tǒng)提供的標準套接字接口，自定義協(xié)議棧允許更直接的數(shù)據(jù)包處理和更靈活的配置，Masscan可直接操作底層網(wǎng)絡層，繞過操作系統(tǒng)的限制和缺陷，從而顯著減少了系統(tǒng)調(diào)用的開銷，并提高了掃描效率。

為了更好的理解，首先先來復習下正常的TCP三次握手建立鏈接的過程：

圖1 TCP的三路握手

1）客戶端發(fā)送SYN標志位為1，seq為x的包給服務器端，發(fā)送完畢之后客戶端進入SYN_SEND狀態(tài)。

2）服務器端發(fā)回確認包ACK應答，回應一個SYN（seq=y）ACK(ack=x+1)報文，發(fā)送完畢，服務器端進入SYN_RCVD狀態(tài)。

3)客戶端收到道服務器端回應的SYN報文，回應一個ACK（ack=y+1）報文，發(fā)送完畢后，客戶端進入ESTABLISHED狀態(tài)，當服務器端接收到這個包時，也進入ESTABLISHED狀態(tài)，開始數(shù)據(jù)傳輸。

與傳統(tǒng)的TCP三次握手相比，Masscan自定義TCP握手過程只需要兩個數(shù)據(jù)包，不建立一個完全的TCP連接，而是首先發(fā)送SYN數(shù)據(jù)包到目標端口，然后等待接收。如果接收到SYN-ACK包，則說明該端口是開放的，此時發(fā)送一個RST結束建立過程即可，否則，若目標返回RST，則端口不開放。如下圖所示，

圖2 Masscan半開放TCP掃描流程

同時，Masscan的自定義協(xié)議棧使用了特定的數(shù)據(jù)包格式。為了實現(xiàn)快速掃描，Masscan使用了非常緊湊的數(shù)據(jù)包格式，減少了數(shù)據(jù)包的大小和數(shù)量，從而減少了網(wǎng)絡傳輸?shù)拈_銷。這樣可以在單位時間內(nèi)發(fā)送更多的數(shù)據(jù)包，提高掃描速度。

2.2 異步傳輸

Masscan使用異步傳輸技術，允許同時發(fā)送多個數(shù)據(jù)包而無需等待前一個數(shù)據(jù)包的響應。這種并發(fā)傳輸方式極大地提高了掃描效率，使得Masscan能夠以驚人的速度處理大量目標主機。

一般情況下進行端口掃描，通過傳統(tǒng)的TCP握手過程，需要進行三次握手來建立連接：客戶端發(fā)送SYN數(shù)據(jù)包，服務器返回SYN+ACK數(shù)據(jù)包，最后客戶端發(fā)送ACK數(shù)據(jù)包。這樣的握手過程相對較慢，一臺機器就算把65536個端口全部用來掃描速度也不快，不適合高速掃描。

Masscan的半開放掃描方式，不需要等待建立鏈接，通過驅(qū)動不斷對目標發(fā)包，服務器返回包經(jīng)過驅(qū)動被接受，Masscan根據(jù)返回包攜帶的信息判斷來源的IP和端口，不需要通過端口到端口建立完整的鏈接，這樣發(fā)出請求后，不再阻塞等待，而是接受到包之后，通知另外的程序判斷來源，充分利用計算機多核處理能力和高速網(wǎng)絡接口。

同時Masscan的自定義協(xié)議棧允許并行處理多個數(shù)據(jù)包的響應。使用多線程的方式來實現(xiàn)異步掃描。它將掃描任務劃分為多個子任務，并由多個線程并行執(zhí)行這些子任務。每個線程負責發(fā)送和接收數(shù)據(jù)包，并在數(shù)據(jù)包返回時進行處理。通過多線程的方式，Masscan能夠同時發(fā)送和處理大量數(shù)據(jù)包，從而極大地提高了掃描效率。

3、Masscan使用

3.1 高速掃描

Masscan以驚人的速度進行掃描，能夠在數(shù)分鐘內(nèi)掃描大量ip和端口。這使得Masscan成為大規(guī)模網(wǎng)絡掃描和漏洞探測的理想選擇。但是需要注意的是，如果發(fā)包量要超過20萬/秒，網(wǎng)卡要求10Gbps。除此之外，還需要PF_RING ZC驅(qū)動。

通過--rate可以設置掃描速度在虛擬機上測試環(huán)境中，不到1Gbps的帶寬條件下，掃描速度為16萬/秒的發(fā)包率。

3.2 支持多種協(xié)議

Masscan支持多種掃描模式，包括TCP和UDP端口掃描，以及SCTP和ICMP掃描。用戶可以根據(jù)需要選擇合適的掃描模式進行目標主機的掃描。

1）掃描TCP端口：

使用 -p 參數(shù)指定要掃描的TCP端口范圍，例如：

Masscan -p1-65535 192.168.0.0/16 ?????#掃描192.168.0.0/16網(wǎng)段內(nèi)所有的TCP端口。

2）掃描UDP端口：

使用 -pU 參數(shù)指定要掃描的UDP端口范圍，例如：

Masscan -pU:1-65535 192.168.0.0/16 ???#掃描192.168.0.0/16網(wǎng)段內(nèi)所有的UDP端口。

3）掃描SCTP端口：

使用 -pS 參數(shù)指定要掃描的SCTP端口范圍，例如：

Masscan -pS:1-65535 192.168.0.0/16 ???#掃描192.168.0.0/16網(wǎng)段內(nèi)所有的SCTP端口。

4）掃描ICMP：

使用 -pI 參數(shù)指定要掃描的ICMP類型范圍，例如：

Masscan -pI:8-0 192.168.0.0/16 ???????#掃描192.168.0.0/16網(wǎng)段內(nèi)所有的ICMP類型。

5）掃描ACK、SYN、FIN等標志位：

使用 -pA 參數(shù)指定要掃描的標志位類型范圍，例如：

Masscan -pA:SAF 192.168.0.0/16 ?????#掃描192.168.0.0/16網(wǎng)段內(nèi)所有帶有SYN、ACK和FIN標志位的數(shù)據(jù)包。

6）掃描指定端口和協(xié)議：

可以同時指定多個協(xié)議和端口，例如：

Masscan -p80,443,8080 -pU:53 192.168.0.0/16 ??#同時掃描TCP端口80、443和8080，以及UDP端口53。

Masscan默認情況下只會掃描TCP端口，如果需要掃描其他協(xié)議的端口，則需要使用相應的參數(shù)進行指定。同時，使用Masscan進行端口掃描可能會對網(wǎng)絡造成一定的負載。

3.3 靈活的配置

Masscan允許用戶靈活地配置掃描參數(shù)，包括目標端口范圍、掃描速率、數(shù)據(jù)包大小等。用戶可以根據(jù)具體情況進行優(yōu)化，以獲得最佳的掃描性能和效果。

常見的掃描參數(shù)配置：

1）掃描目標設置：

-iL <file>：從文件中讀取要掃描的目標列表。

<IP range>：直接指定要掃描的IP地址范圍。

2）速率和超時設置：

--rate <packets per second>：設置掃描速率，即每秒發(fā)送的數(shù)據(jù)包數(shù)量。

--timeout <time>：設置每個端口的掃描超時時間。

3）IP和端口過濾：

--exclude <IP range>：排除特定的IP地址范圍，不進行掃描。

--excludefile <file>：從文件中讀取要排除的IP地址列表。

--banners：獲取開放端口的服務banner信息。

4）輸出格式

-oX filename ：輸出到filename的XML。

-oG filename ：輸出到filename在的grepable格式。

-oJ filename ：輸出到filename在JSON格式。

5）其他設置：

randomize-hosts：隨機掃描目標IP，增加掃描的隨機性。

--nmap：生成與Nmap相似的輸出格式。

--rotate：使用多個源IP地址進行掃描。

--shard <total shards>/<this shard>：將掃描任務分割為多個片段，同時運行多個Masscan實例

如果不想輸入命令，可以通過創(chuàng)建配置文件，然后用加載配置文件的方式運行。配置文件的內(nèi)容如下所示:

rate = 100000

output-format = xml

output-status = all

output-filename = scan.xml

ports = 0-65535

range = 0.0.0.0-255.255.255.255

excludefile = exclude.txt

掃描時，用 -c 加載配置文件 即可完成掃描。

3.4 跨平臺支持

Masscan支持在多種操作系統(tǒng)平臺上運行，包括Linux、Windows和macOS等。這使得用戶能夠在不同環(huán)境下靈活地使用Masscan進行端口掃描。

4、常用端口掃描工具比較

網(wǎng)絡端口掃描在網(wǎng)絡安全評估和漏洞探測中扮演著關鍵角色。目前常用的掃描工具有Masscan、Nmap和Zmap，它們各自有著獨特的特點和優(yōu)勢：

以上三種掃描工具各有利弊，工具的選取應該結合具體情況決定，通常情況下需要幾種工具結合使用。

Zmap和Masscan采用了無狀態(tài)的掃描技術，掃描速度非?？捎^。在信息收集的初級階段，可以使用Zmap或Masscan進行目標的情勢了解；

掃描單一端口的情況考慮使用Zmap，而多端口的情況下Masscan則更為快速。

在做完初步了解之后，則應該使用功能更加豐富的Nmap進行進一步的詳細掃描。

5、總結

Masscan是一款在大規(guī)模端口掃描領域具有獨特優(yōu)勢的工具，它的高速和靈活性使得它成為網(wǎng)絡安全評估和漏洞探測中不可或缺的利器。然而，在使用Masscan進行掃描時，我們必須時刻牢記合法授權和合規(guī)性，以確保其在維護網(wǎng)絡安全的同時不會對互聯(lián)網(wǎng)造成不利影響。

參考文獻

【1】Queiroz, T., Carneiro, D., Braun, T., & Sadok, D. (2021). Comprehensive Analysis of Network Scanning Tools. In 2021 24th Conference on Innovation in Clouds, Internet and Networks and Workshops (ICIN) (pp. 1-6). IEEE.

【2】知乎：【滲透神器】信息收集-端口掃描Masscan篇，2022年11月29日

【3】?Seebug Paper:從 Masscan, Zmap 源碼分析到開發(fā)實踐https://paper.seebug.org/1052/,2019年10月12日