一、Masscan介紹

Masscan是一款高速端口掃描工具，具備出色的掃描效率和大規(guī)模掃描的能力，支持TCP和UDP協(xié)議的掃描，并能夠根據(jù)用戶的需求指定多個目標(biāo)和端口。同時，Masscan還采用了網(wǎng)絡(luò)性能優(yōu)化技術(shù)，充分利用操作系統(tǒng)的資源和多核處理能力，實現(xiàn)了卓越的掃描效率和吞吐量。使用Masscan能夠幫助用戶快速了解目標(biāo)主機的服務(wù)和漏洞情況，并提供靈活的輸出格式和報告，方便進(jìn)一步的分析和處理。

Masscan的特點：

1）高速掃描：Masscan以其高速的掃描能力而著稱，號稱可以在5分鐘內(nèi)掃描整個互聯(lián)網(wǎng)，從一臺機器每秒傳輸1000萬個數(shù)據(jù)包。

2）繞過限制：Masscan繞過操作系統(tǒng)的網(wǎng)絡(luò)堆棧限制，直接發(fā)送原始數(shù)據(jù)包，提高掃描效率，并允許更多的自定義掃描選項。

3）異步發(fā)送：通過異步發(fā)送數(shù)據(jù)包，Masscan能夠同時發(fā)送多個數(shù)據(jù)包，實現(xiàn)并發(fā)掃描，進(jìn)一步加快掃描速度。

4）靈活的輸出格式：Masscan支持多種輸出格式，包括文本、XML和JSON，方便結(jié)果分析和后續(xù)處理。

二、Masscan的技術(shù)原理

Masscan是由Robert David Graham開發(fā)的網(wǎng)絡(luò)端口掃描工具，其技術(shù)原理基于異步傳輸和自定義的TCP/IP協(xié)議棧。相比傳統(tǒng)的端口掃描工具，Masscan采用并行異步傳輸?shù)姆绞?，充分利用現(xiàn)代計算機的多核處理能力和高速網(wǎng)絡(luò)接口，使得掃描速度大幅提升。

2.1 自定義TCP/IP協(xié)議棧

為了實現(xiàn)更高的掃描性能，Masscan采用了自定義的TCP/IP協(xié)議棧。相比使用操作系統(tǒng)提供的標(biāo)準(zhǔn)套接字接口，自定義協(xié)議棧允許更直接的數(shù)據(jù)包處理和更靈活的配置，Masscan可直接操作底層網(wǎng)絡(luò)層，繞過操作系統(tǒng)的限制和缺陷，從而顯著減少了系統(tǒng)調(diào)用的開銷，并提高了掃描效率。

為了更好的理解，首先先來復(fù)習(xí)下正常的TCP三次握手建立鏈接的過程：

圖1 TCP的三路握手

1）客戶端發(fā)送SYN標(biāo)志位為1，seq為x的包給服務(wù)器端，發(fā)送完畢之后客戶端進(jìn)入SYN_SEND狀態(tài)。

2）服務(wù)器端發(fā)回確認(rèn)包ACK應(yīng)答，回應(yīng)一個SYN（seq=y）ACK(ack=x+1)報文，發(fā)送完畢，服務(wù)器端進(jìn)入SYN_RCVD狀態(tài)。

3）客戶端收到道服務(wù)器端回應(yīng)的SYN報文，回應(yīng)一個ACK（ack=y+1）報文，發(fā)送完畢后，客戶端進(jìn)入ESTABLISHED狀態(tài)，當(dāng)服務(wù)器端接收到這個包時，也進(jìn)入ESTABLISHED狀態(tài)，開始數(shù)據(jù)傳輸。

與傳統(tǒng)的TCP三次握手相比，Masscan自定義TCP握手過程只需要兩個數(shù)據(jù)包，不建立一個完全的TCP連接，而是首先發(fā)送SYN數(shù)據(jù)包到目標(biāo)端口，然后等待接收。如果接收到SYN-ACK包，則說明該端口是開放的，此時發(fā)送一個RST結(jié)束建立過程即可，否則，若目標(biāo)返回RST，則端口不開放。如下圖所示：

圖2 Masscan半開放TCP掃描流程

同時，Masscan的自定義協(xié)議棧使用了特定的數(shù)據(jù)包格式。為了實現(xiàn)快速掃描，Masscan使用了非常緊湊的數(shù)據(jù)包格式，減少了數(shù)據(jù)包的大小和數(shù)量，從而減少了網(wǎng)絡(luò)傳輸?shù)拈_銷。這樣可以在單位時間內(nèi)發(fā)送更多的數(shù)據(jù)包，提高掃描速度。

2.2 異步傳輸

Masscan使用異步傳輸技術(shù)，允許同時發(fā)送多個數(shù)據(jù)包而無需等待前一個數(shù)據(jù)包的響應(yīng)。這種并發(fā)傳輸方式極大地提高了掃描效率，使得Masscan能夠以驚人的速度處理大量目標(biāo)主機。

一般情況下進(jìn)行端口掃描，通過傳統(tǒng)的TCP握手過程，需要進(jìn)行三次握手來建立連接：客戶端發(fā)送SYN數(shù)據(jù)包，服務(wù)器返回SYN+ACK數(shù)據(jù)包，最后客戶端發(fā)送ACK數(shù)據(jù)包。這樣的握手過程相對較慢，一臺機器就算把65536個端口全部用來掃描速度也不快，不適合高速掃描。

Masscan的半開放掃描方式，不需要等待建立鏈接，通過驅(qū)動不斷對目標(biāo)發(fā)包，服務(wù)器返回包經(jīng)過驅(qū)動被接受，Masscan根據(jù)返回包攜帶的信息判斷來源的IP和端口，不需要通過端口到端口建立完整的鏈接，這樣發(fā)出請求后，不再阻塞等待，而是接受到包之后，通知另外的程序判斷來源，充分利用計算機多核處理能力和高速網(wǎng)絡(luò)接口。

同時Masscan的自定義協(xié)議棧允許并行處理多個數(shù)據(jù)包的響應(yīng)。使用多線程的方式來實現(xiàn)異步掃描。它將掃描任務(wù)劃分為多個子任務(wù)，并由多個線程并行執(zhí)行這些子任務(wù)。每個線程負(fù)責(zé)發(fā)送和接收數(shù)據(jù)包，并在數(shù)據(jù)包返回時進(jìn)行處理。通過多線程的方式，Masscan能夠同時發(fā)送和處理大量數(shù)據(jù)包，從而極大地提高了掃描效率。

三、Masscan使用

3.1 高速掃描

Masscan以驚人的速度進(jìn)行掃描，能夠在數(shù)分鐘內(nèi)掃描大量ip和端口。這使得Masscan成為大規(guī)模網(wǎng)絡(luò)掃描和漏洞探測的理想選擇。但是需要注意的是，如果發(fā)包量要超過20萬/秒，網(wǎng)卡要求10Gbps。除此之外，還需要PF_RING ZC驅(qū)動。

通過--rate可以設(shè)置掃描速度在虛擬機上測試環(huán)境中，不到1Gbps的帶寬條件下，掃描速度為16萬/秒的發(fā)包率。

3.2 支持多種協(xié)議

Masscan支持多種掃描模式，包括TCP和UDP端口掃描，以及SCTP和ICMP掃描。用戶可以根據(jù)需要選擇合適的掃描模式進(jìn)行目標(biāo)主機的掃描。

1）掃描TCP端口：

使用 -p 參數(shù)指定要掃描的TCP端口范圍，例如：

Masscan -p1-65535 192.168.0.0/16      #掃描192.168.0.0/16網(wǎng)段內(nèi)所有的TCP端口。

2）掃描UDP端口：

使用 -pU 參數(shù)指定要掃描的UDP端口范圍，例如：

Masscan -pU:1-65535 192.168.0.0/16    #掃描192.168.0.0/16網(wǎng)段內(nèi)所有的UDP端口。

3）掃描SCTP端口：

使用 -pS 參數(shù)指定要掃描的SCTP端口范圍，例如：

Masscan -pS:1-65535 192.168.0.0/16    #掃描192.168.0.0/16網(wǎng)段內(nèi)所有的SCTP端口。

4）掃描ICMP：

使用 -pI 參數(shù)指定要掃描的ICMP類型范圍，例如：

Masscan -pI:8-0 192.168.0.0/16        #掃描192.168.0.0/16網(wǎng)段內(nèi)所有的ICMP類型。

5）掃描ACK、SYN、FIN等標(biāo)志位：

使用 -pA 參數(shù)指定要掃描的標(biāo)志位類型范圍，例如：

Masscan -pA:SAF 192.168.0.0/16      #掃描192.168.0.0/16網(wǎng)段內(nèi)所有帶有SYN、ACK和FIN標(biāo)志位的數(shù)據(jù)包。

6）掃描指定端口和協(xié)議：

可以同時指定多個協(xié)議和端口，例如：

Masscan -p80,443,8080 -pU:53 192.168.0.0/16   #同時掃描TCP端口80、443和8080，以及UDP端口53。

Masscan默認(rèn)情況下只會掃描TCP端口，如果需要掃描其他協(xié)議的端口，則需要使用相應(yīng)的參數(shù)進(jìn)行指定。同時，使用Masscan進(jìn)行端口掃描可能會對網(wǎng)絡(luò)造成一定的負(fù)載。

3.3 靈活的配置

Masscan允許用戶靈活地配置掃描參數(shù)，包括目標(biāo)端口范圍、掃描速率、數(shù)據(jù)包大小等。用戶可以根據(jù)具體情況進(jìn)行優(yōu)化，以獲得最佳的掃描性能和效果。

常見的掃描參數(shù)配置：

1）掃描目標(biāo)設(shè)置：

-iL <file>：從文件中讀取要掃描的目標(biāo)列表。

<IP range>：直接指定要掃描的IP地址范圍。

2）速率和超時設(shè)置：

--rate <packets per second>：設(shè)置掃描速率，即每秒發(fā)送的數(shù)據(jù)包數(shù)量。

--timeout <time>：設(shè)置每個端口的掃描超時時間。

3）IP和端口過濾：

--exclude <IP range>：排除特定的IP地址范圍，不進(jìn)行掃描。

--excludefile <file>：從文件中讀取要排除的IP地址列表。

--banners：獲取開放端口的服務(wù)banner信息。

4）輸出格式

-oX filename ：輸出到filename的XML。

-oG filename ：輸出到filename在的grepable格式。

-oJ filename ：輸出到filename在JSON格式。

5）其他設(shè)置：

randomize-hosts：隨機掃描目標(biāo)IP，增加掃描的隨機性。

--nmap：生成與Nmap相似的輸出格式。

--rotate：使用多個源IP地址進(jìn)行掃描。

--shard <total shards>/<this shard>：將掃描任務(wù)分割為多個片段，同時運行多個Masscan實例

如果不想輸入命令，可以通過創(chuàng)建配置文件，然后用加載配置文件的方式運行。配置文件的內(nèi)容如下所示:

rate = 100000

output-format = xml

output-status = all

output-filename = scan.xml

ports = 0-65535

range = 0.0.0.0-255.255.255.255

excludefile = exclude.txt

掃描時，用 -c 加載配置文件 即可完成掃描。

3.4 跨平臺支持

Masscan支持在多種操作系統(tǒng)平臺上運行，包括Linux、Windows和macOS等。這使得用戶能夠在不同環(huán)境下靈活地使用Masscan進(jìn)行端口掃描。

四、常用端口掃描工具比較

網(wǎng)絡(luò)端口掃描在網(wǎng)絡(luò)安全評估和漏洞探測中扮演著關(guān)鍵角色。目前常用的掃描工具有Masscan、Nmap和Zmap，它們各自有著獨特的特點和優(yōu)勢：

以上三種掃描工具各有利弊，工具的選取應(yīng)該結(jié)合具體情況決定，通常情況下需要幾種工具結(jié)合使用。

Zmap和Masscan采用了無狀態(tài)的掃描技術(shù)，掃描速度非?？捎^。在信息收集的初級階段，可以使用Zmap或Masscan進(jìn)行目標(biāo)的情勢了解；

掃描單一端口的情況考慮使用Zmap，而多端口的情況下Masscan則更為快速。

在做完初步了解之后，則應(yīng)該使用功能更加豐富的Nmap進(jìn)行進(jìn)一步的詳細(xì)掃描。

五、總結(jié)

Masscan是一款在大規(guī)模端口掃描領(lǐng)域具有獨特優(yōu)勢的工具，它的高速和靈活性使得它成為網(wǎng)絡(luò)安全評估和漏洞探測中不可或缺的利器。然而，在使用Masscan進(jìn)行掃描時，我們必須時刻牢記合法授權(quán)和合規(guī)性，以確保其在維護(hù)網(wǎng)絡(luò)安全的同時不會對互聯(lián)網(wǎng)造成不利影響。