張星亮 張洪波

摘要：作為網(wǎng)絡(luò)安全維護(hù)人員，網(wǎng)絡(luò)掃描是信息收集的重要手段，一般包括端口掃描和漏洞掃描。該文主要對(duì)當(dāng)前流行的Nmap、Zmap、Masscan這三種網(wǎng)絡(luò)掃描工具進(jìn)行功能介紹。通過(guò)綜合比較實(shí)驗(yàn)，針對(duì)不同類型的掃描工具進(jìn)行了測(cè)試比較和分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；掃描；工具；Nmap；Zmap；Masscan

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）11-0056-02

Comparison and Analysis of Network Security Scanners

ZHANG Xing-liang，ZHANG Hong-bo

（32159 Troops of The PLA， Urumqi 830000， China）

Abstract：As a network security maintenance personnel， network scanning is an important means of information collection， usually including port scan and vulnerability scanning. This article mainly introduces the three popular network scanning tools， such as Nmap， Zmap and Masscan. Through the comprehensive comparison experiment， the test comparison and analysis are carried out for different types of scanners.

Key words：network security； scanners； Nmap； Zmap； Masscan

1 引言

作為網(wǎng)絡(luò)安全維護(hù)人員，網(wǎng)絡(luò)掃描是隱患排查的重要手段，通過(guò)掃描可以主動(dòng)、及時(shí)發(fā)現(xiàn)web站點(diǎn)或服務(wù)器開(kāi)放的危險(xiǎn)端口、配置錯(cuò)誤的服務(wù)、存在的安全漏洞等問(wèn)題，輔助采取防護(hù)措施。而一說(shuō)起掃描工具，Nmap以其強(qiáng)大而豐富的功能被絕大多數(shù)安全人員所熟知。除此以外，宣稱“45分鐘掃描互聯(lián)網(wǎng)”的Zmap和“6分鐘掃描互聯(lián)網(wǎng)”的Masscan由于效率高、穩(wěn)定性強(qiáng)也被廣泛使用。

2 核心功能

2.1 Nmap

Nmap由Fyodor于1997年開(kāi)始創(chuàng)建的端口掃描器，隨后在全球眾多的開(kāi)源社區(qū)志愿者參與下，逐漸成為最為流行安全領(lǐng)域必備工具之一。Nmap功能非常強(qiáng)大，具有主機(jī)存活檢測(cè)、端口掃描、網(wǎng)絡(luò)服務(wù)及版本辨識(shí)、操作系統(tǒng)檢測(cè)、漏洞掃描分析五項(xiàng)核心功能。Nmap掃描模式支持TCP SYN 掃描、TCP connect掃描、UDP 掃描、No Ping掃描、TCP ACK掃描、TCP FIN掃描等十幾種類型。相比較一般掃描器對(duì)端口分為開(kāi)放或關(guān)閉兩種類型，Nmap對(duì)端口的分析粒度更加細(xì)致，共分為開(kāi)放、關(guān)閉、被過(guò)濾等六類狀態(tài)。

2.2 Zmap

Zmap源自美國(guó)密歇根大學(xué)，它是一種“無(wú)狀態(tài)”的工具（注意，不同于TCP SYN掃描），在傳出的數(shù)據(jù)包中對(duì)識(shí)別信息進(jìn)行哈希運(yùn)算編碼，不記錄目標(biāo)回執(zhí)狀態(tài)，對(duì)目標(biāo)回送的SYN-ACK按照源IP地址、源端口號(hào)、ACK編碼等關(guān)鍵字段校驗(yàn)。這樣就避免存儲(chǔ)連接狀態(tài)的系統(tǒng)開(kāi)銷，同時(shí)將發(fā)包速率接近網(wǎng)絡(luò)帶寬極限。Zmap存在兩個(gè)局限性：一個(gè)是掃描一次只能支持單端口，不支持端口范圍性掃描；另一個(gè)是掃描模式不夠豐富，僅僅支持TCP SYN、ICMP echo、UDP這三種基本模式。

2.3 Masscan

Masscan與Zmap類似，同樣采用了無(wú)狀態(tài)的掃描技術(shù)。為了提高處理速度，Masscan定制了TCP/IP棧，從而不影響本地其他TCP/IP的數(shù)據(jù)傳輸。理想帶寬環(huán)境Linux平臺(tái)下，其發(fā)包速度最快可以達(dá)到160萬(wàn)包/每秒。Masscan功能選項(xiàng)十分豐富，例如允許用戶手工設(shè)置目標(biāo)黑白名單以及掃描速率；配置經(jīng)過(guò)路由器地址鏈路；手動(dòng)設(shè)置目標(biāo)網(wǎng)絡(luò)地址范圍和端口號(hào)（1-65535）；為了達(dá)到隱蔽偽裝效果可以修改數(shù)據(jù)包的MAC地址、源端口。

3 速度和效率

安裝部署Linux下Python運(yùn)行環(huán)境，編寫(xiě)python腳本分別調(diào)用三種工具執(zhí)行端口掃描命令。選取中國(guó)香港、中國(guó)臺(tái)灣、美國(guó)、歐洲的幾個(gè)高頻使用IP地址段，每組實(shí)驗(yàn)過(guò)程中，針對(duì)相同IP段和80、21、22、23、443等20個(gè)常用網(wǎng)絡(luò)端口，避免網(wǎng)絡(luò)擁塞影響檢測(cè)結(jié)果方差，比較相同運(yùn)行環(huán)境、不同目標(biāo)網(wǎng)絡(luò)三種工具執(zhí)行掃描完成數(shù)量和質(zhì)量。

時(shí)間方面，Nmap掃描耗時(shí)明顯高于Zmap和Masscan，有些IP地址段耗時(shí)并不穩(wěn)定，這與其采用的等待掃描結(jié)果反饋機(jī)制有關(guān)。而Zmap和Masscan掃描耗時(shí)與到掃描目標(biāo)數(shù)量成正比，對(duì)于多端口掃描，Masscan的優(yōu)勢(shì)就比較明顯了，因?yàn)閆map由于每次只能針對(duì)一個(gè)端口進(jìn)行掃描，對(duì)于20個(gè)端口的情況需要在腳本中發(fā)起20次掃描，因此耗時(shí)遠(yuǎn)高于Masscan。排名結(jié)果Masscan>Zmap>Nmap。

結(jié)果數(shù)量方面，隨著掃描目標(biāo)網(wǎng)絡(luò)的擴(kuò)大，由一個(gè)C段逐步擴(kuò)大到三個(gè)C段，Nmap發(fā)現(xiàn)的數(shù)量更多更準(zhǔn)確，而Zmap和Masscan遺漏的越來(lái)越多，這也是可以理解的，畢竟既要保證掃描時(shí)間短又要掃描結(jié)果多而準(zhǔn)確是不符合現(xiàn)實(shí)的。排名結(jié)果Nmap>Zmap>Masscan。

4 總結(jié)

分析大范圍的、概略的目標(biāo)網(wǎng)絡(luò)態(tài)勢(shì)考慮Zmap或Masscan，對(duì)于特定端口安全狀況可以使用Zmap工具，如果不確定端口范圍并且需要隱蔽掃描的情況下使用Masscan工具。根據(jù)初步掃描結(jié)果，縮小風(fēng)險(xiǎn)范圍后使用功能更加全面可靠的Nmap繼續(xù)詳細(xì)掃描。

參考文獻(xiàn)：

[1] 胡昌振.面向21世紀(jì)的網(wǎng)絡(luò)安全與防護(hù)[M].北京希望電子出版社，1999.

[2] 武裝.網(wǎng)絡(luò)端口掃描及對(duì)策研究[J].電子技術(shù)應(yīng)用，2004，30（3）.

[3] 尹春勇，孫汝霞.網(wǎng)絡(luò)安全掃描工具的分析與設(shè)計(jì)[J].濱州師專學(xué)報(bào)，2003（4）.