¿Cómo puedo realizar un escaneo de puertos de subredes grandes?

6

Necesito escanear varias subredes / 16 y a / 8 para ver qué servidores están activos y, además, si algún servicio se está ejecutando en unos pocos puertos seleccionados. He probado varias herramientas como el escáner IP enojado, Nmap, escáner IP avanzado. Pero después de un tiempo, todos se desploman y ninguno de ellos completa las exploraciones según sea necesario.

¿Cuál es la mejor manera de identificar servidores y servicios en una subred grande?

    
pregunta NULLZ 18.03.2013 - 13:40
fuente

5 respuestas

11

Unicornscan es una herramienta conocida por el escaneo de alta velocidad de grandes bloques de red (por ejemplo, lo último que observé fue de 60 + mbps en internet) escaneos basados).

En el pasado, Nmap tenía problemas de consumo de memoria con escaneos grandes, pero no he visto esos problemas en las versiones 5.x / 6.x al realizar escaneos de 65k puertos en varios / 16s.

Los problemas de memoria con los que me encuentro normalmente se deben a ip_conntrack y a continuación se incluyen algunos enlaces recomendados para ajustar la configuración del kernel / ip_conntrack que pueden ayudar a nmap:

  
    
respondido por el Tate Hansen 18.03.2013 - 18:41
fuente
5

Bueno, como @TerryChia dice que me sorprende que el nmap te esté causando problemas, no creo que lo haya visto estrellarse ...

Sin embargo, dicho eso, asumiendo que sí, hay un par de enfoques que puede tomar que pueden ayudar.

  1. Romper manualmente el rango. Cree un archivo de texto con rangos más pequeños y luego automatice el proceso de desconexión de un escaneo de cada rango de uno en uno. Una vez que tenga todos los resultados, puede agruparlos para obtener una imagen general. Un ejemplo de un script que puede usar para analizar un directorio lleno de resultados de nmap es aquí
  2. Al no haber visto los conmutadores que está utilizando, es difícil proporcionar un consejo exacto aquí, pero si aún no lo ha hecho, estaría usando -sP y un rango de puertos (especificado mediante -PS o -PU) para establecer una lista de "hosts arriba" que puede analizar, si necesita más información.
respondido por el Rоry McCune 18.03.2013 - 14:16
fuente
3

¿Ha investigado la razón por la cual las herramientas que usa se bloquean después de un tiempo? He usado nmap para escanear redes bastante grandes sin ningún problema.

De hecho, la herramienta nmap se ha utilizado para escanear grandes partes de Internet sin problemas, como se ve en este presentación del archivo de configuración .

Es posible que desee experimentar con diferentes indicadores de nmap o probar a escanear con una máquina diferente para probar las diferentes posibilidades por las que los escaneos pueden estar fallando.

Si realmente no puede escanear la subred completa de una sola vez, divida la tarea en varios escaneos. Debería ser lo suficientemente fácil de hacer ...

    
respondido por el Ayrx 18.03.2013 - 13:47
fuente
3

Creo que nmap es adecuado para escanear un gran número de IPs. Yo mismo he escaneado solo / 16 subredes con nmap pero HD Moore en 2012 exploró la Internet completa a través de nmap . Todo lo que necesitas es jugar con los argumentos de la línea de comandos de nmap. Los HD que se utilizaron para escanear Internet fueron:

  1. --min-rate = 5000 -m 256 --min-host-group = 50000 -PS -p
  2. Hacer coincidir --min-rtt-timeout con --max-rtt-timeout

Entonces supongo que el nmap puede ser bastante efectivo. Si es capaz de escanear todo el rango de IP a través de Internet, no tendrá ningún problema para cumplir con sus requisitos.

    
respondido por el void_in 19.03.2013 - 05:20
fuente
3

Una herramienta interesante para este propósito ha surgido recientemente. Se llama massscan y su código se puede encontrar en este repositorio GitHub .

Una cita de README.

  

Este es el escáner de puerto de Internet más rápido. Puede escanear todo Internet en menos de 6 minutos, transmitiendo 10 millones de paquetes por segundo.

     

Produce resultados similares a nmap, el escáner de puertos más famoso. Internamente, opera más como scanrand, unicornscan y ZMap, usando transmisión asíncrona. La principal diferencia es que es más rápido que estos otros escáneres. Además, es más flexible, ya que permite rangos de direcciones y rangos de puertos arbitrarios.

Esto parece ser bastante rápido, pero puede ser demasiado ruidoso dependiendo del entorno que esté escaneando. README tiene más información sobre cómo funciona la herramienta, por lo que es posible que desee investigar esto más a fondo.

    
respondido por el Ayrx 04.11.2013 - 15:34
fuente

Lea otras preguntas en las etiquetas