目录

  • 环境介绍
  • 工具简介
  • 数据包
    • nmap的SYN扫描
    • nc的TCP扫描
    • masscan的扫描
  • 对比masscan、nc、nmap的SYN扫描
  • 规则

环境介绍

NAT模式:

  • kali攻击方
  • win7受害者
  • Metasploitable受害者

工具简介

masscan号称是目前是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网。 masscan的扫描结果类似于nmap,在内部,它更像scanrand, unicornscan, and ZMap,采用了异步传输的方式。它和这些扫描器最主要的区别是,它比这些扫描器更快。而且,masscan更加灵活,它允许自定义任意的地址范和端口范围。

参数很多,跟扫描相关的就是-p,用来指定扫描的端口范围

masscan 192.168.239.130 -p1-600

数据包

前面介绍过nmap的SYN扫描,nc的TCP扫描,这里对比观察一下,避免引起误报
对比下面的数据包发现:

  1. 三者的首部长度是不一样的,可以以此为突破口
  2. masscan的特征体现在首部长度是20字节,没有tcp.option关键字,存在高并发行为(还是有可能触发别的误报,触发的话,再对比优化了)

nmap的SYN扫描

nc的TCP扫描

masscan的扫描

masscan 192.168.239.130 -p1-600

观察第2340、2344、2345三个数据包,发现masscan默认使用SYN扫描,当对方的80端口回应了之后,masscan就发送RST断开连接

对比masscan、nc、nmap的SYN扫描

1:masscan默认使用SYN扫描,一旦建立第二次握手之后,masscan就发送RST断开连接
见序号2340、2344、2345的数据包

2:nmap使用-sS扫描时,与masscan一样,一旦建立第二次握手之后,nmap就发送RST断开连接
见序号是91、93、99的数据包

3:nc使用-nvz扫描时,建立完整的三次握手之后,就发送Fin+Ack开始断开连接
见序号是5732~5737的数据包

规则

alert tcp any any -> any any (msg:"masscan 端口扫描"; flags:S; window:1024; dsize:0; detection_filter:track by_src,count 100,seconds 5; tcp.header_len:=20; metadata:service check-ports; sid:7; rev:1;)

由于snort不支持tcp.header_len关键字,这里剔除这个关键字之后,snort可以正常告警

入侵检测——masscan(扫描篇)相关推荐

  1. 入侵检测——nbtscan(扫描篇)

    目录 环境介绍 工具简介 数据包 规则 环境介绍 NAT模式: kali攻击方 win7受害者 Metasploitable受害者 工具简介 一个在本地或远程TCP/IP网络上扫描开放的NETBIOS ...

  2. 入侵检测——fping(扫描篇)

    目录 环境介绍 参数 数据包 参照组数据包(使用ping命令) windows下使用cmd发出的ping包 kali在终端中发出的ping包 fping发出的数据包 单个主机扫描(无回应) 单个主机扫 ...

  3. 文件加解密,AIDE入侵检测,扫描与抓包

    加/解密概述 发送方:明文->密文 接收方:密文->明文 加密目的及方式 确保数据的机密性 对称加密:加密/解密用同一个密钥 非对称加密:加密/解密用不同的密钥(公钥.私钥) 保护信息的完 ...

  4. 入侵检测——dmitry

    目录 环境介绍 工具简介 数据包 1:(-p参数)端口扫描 2:(-i参数)whois查询ip 3:(-w参数)whois查询域名 规则汇总 环境介绍 NAT模式: kali攻击方 win7受害者 工 ...

  5. 新书推荐 |《Linux系统安全:纵深防御、安全扫描与入侵检测》

    新书推荐 <Linux系统安全:纵深防御.安全扫描与入侵检测> 点击上图了解及购买 资深Linux系统安全/运维专家撰写,腾讯.阿里技术专家高度评价,从纵深防御.安全扫描.入侵检测3个维度 ...

  6. [网络安全自学篇] 二十四.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例

    这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了Web渗透的第一步工作,涉及网站信息.域名信息.端口信息.敏感信息及指纹 ...

  7. 加密与解密 入侵检测 扫描与抓包

    Top NSD SECURITY DAY02 案例1:加密与解密应用 案例2:使用AIDE做入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/ ...

  8. \加密与解密应用\使用AIDE做入侵检测\扫描与抓包分析\加密与解密应用

    例1:加密与解密应用 案例2:使用AIDE做入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/解密及软件签名等功能,分别完成以下任务: 检查文 ...

  9. 安全防御之入侵检测篇

    目录 1.什么是IDS? 2.IDS和防火墙有什么不同?3.IDS的工作原理? 4.IDS的主要检测方法有哪些?请详细说明 5.IDS的部署方式有哪些? 6.IDS的签名是什么意思?签名过滤器有什么用 ...

  10. [当人工智能遇上安全] 6.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例

    您或许知道,作者后续分享网络安全的文章会越来越少.但如果您想学习人工智能和安全结合的应用,您就有福利了,作者将重新打造一个<当人工智能遇上安全>系列博客,详细介绍人工智能与安全相关的论文. ...

最新文章

  1. 基于YOLOv5的智慧工地实现---安全帽检测(2)
  2. MPlayer编译步骤
  3. golang 创建文件目录 os.Mkdir、os.MkdirAll 区别
  4. c++中vector的用法详解
  5. python 开放_Python
  6. MySQL删除用户权限(REVOKE)
  7. Ubuntu18.04提示wifi无法连接
  8. 基于JAVA+SpringMVC+Mybatis+MYSQL的OA办公系统
  9. 数据结构笔记(十一)串
  10. node.js 事件循环
  11. 天弘基金:中国的BlackRock?
  12. RequestError Error connect ETIMEDOUT 59.24.3.174443
  13. 清除html宏病毒,手动清除EXCEL宏病毒的方法
  14. uni-app引用npm第三方库
  15. python如何实现语音识别
  16. 破解Excel2013密码设置工作表保护
  17. 华为p10和p10plus区别_华为P10和华为P10Plus怎么样?哪个更值得买?华为P10与P10Plus区别对比...
  18. 6个超赞的免费神器工具,拯救贫民窟的你!
  19. 东北电力大学计算机学院教务处,2020年东北电力大学计算机学院初试
  20. 科学计算机一个亿怎么显示0,一亿后面几个零

热门文章

  1. 滑模鲁棒控制(hm-3)
  2. 向PDF写入签名日期
  3. 二、NPP/VIIRS夜间灯光数据校正之投影变换、裁剪、重采样
  4. python简单编程--ATM银行管理系统
  5. 日志分析基础 | Syslog日志数据处理
  6. 分布式系统架构的本质
  7. 银行家算法C语言代码
  8. 中国 各大银行bankCode 开户行代码和名称 高清银行图标
  9. 信息安全三分靠技术七分靠管理_ISO27001信息安全管理体系“三分靠技术 七分靠管理”...
  10. java专用英语词典软件_英语词典app哪个好 5款好用的英语词典app推荐