ZMap - это быстрый однопакетный сетевой сканер, разработанный для исследования сетей в масштабе Интернета. На типичном настольном компьютере с подключением к Gigabit Ethernet ZMap способен сканировать все общедоступное адресное пространство IPv4 менее чем за сорок пять минут. Наряду со ссылкой 10gigE, а также PF_RING, ZMap может легко сканировать адресную комнату IPv4 менее чем за 5 минут.
ZMap работает с GNU / Linux, операционной системой Mac, а также с BSD. В настоящее время ZMap имеет полностью реализованные модули зондирования для сканирования TCP SYN, ICMP, DNS-запросов, UPnP, BACNET, а также может отправлять большое количество проверок UDP. Если вы действительно хотите выполнить еще более сложное сканирование, например захват баннера или даже подтверждение TLS, взгляните на ZGrab, родственную задачу ZMap, которая выполняет рукопожатия на уровне приложения с отслеживанием состояния.
Инструменты сетевого сканирования играют важную роль в обеспечении безопасности в Интернете. Они используются как аналитиками сетевой безопасности, так и злоумышленниками для выявления уязвимых машин, доступных в Интернете. ZMap - один из самых популярных и популярных ресурсов для быстрого сканирования в Интернете. Ему удается точно определить 28,5% сканов ZMap в реальном трафике. Затем наша компания проводит подробное описание этих сканирований, например, в отношении целевого префикса и скорости проникновения.
Установка ZMap
Последний стабильный выпуск ZMap - это версия 2.1.1 и поддерживает Linux, macOS и BSD. Его можно установить через встроенные диспетчеры пакетов в следующих операционных системах:
Параметры ZMap
На снимке экрана терминала показаны некоторые основные параметры и параметры сканирования. Ниже мы перечислим сетевые и дополнительные параметры (есть также параметры вывода, дополнительные параметры, параметры модуля зонда udp, фильтры вывода и т. д.).
# Network Options
-s, --source-port=port|range
Source port(s) for scan packets
-S, --source-ip=ip|range
Source address(es) for scan packets
-G, --gateway-mac=addr
Specify gateway MAC address. All packets will be sent to this Ethernet address.
-i, --interface=name
Specify network interface to use.
-X, --vpn
If using ZMap through a VPN, use this option. Instead of sending raw Ethernet
frames, ZMap will send IP packets. When using this option, it is generally also
necessary to provide the interface (through the -i flag).
# Probe Options
-M, --probe-module=name
Select probe module (default=tcp_synscan)
-O, --output-module=name
Select output module (default=simple_file)
-f, --output-fields=fields
Fields that should be output in result set; see --list-output-fields
--probe-args=args
Arguments to pass to probe module
--output-args=args
Arguments to pass to output module
--list-output-modules
List available output modules
--list-probe-modules
List available probe modules
--list-output-fields
List all fields that can be output (using --output-fields ) by selected
Примеры ZMap
ZMap - это сетевой сканер, предназначенный для комплексного сканирования адресного пространства IPv4 или его больших частей.
По умолчанию ZMap выполняет сканирование TCP SYN на указанном порту с максимально возможной скоростью. Более консервативная конфигурация, которая будет сканировать 10000 случайных адресов на 80-м порту на максимальной скорости 10 Мбит / с, может быть выполнена следующим образом:
$ zmap --bandwidth=10M --target-port=80 --max-targets=10000 --output-file=results.csv
Или более кратко:
$ zmap -B 10M -p 80 -n 10000 -o results.csv
ZMap также можно использовать для сканирования определенных подсетей или блоков CIDR. Например, чтобы сканировать только 10.0.0.0/8 и 192.168.0.0/16 по TCP / 80, запустите:
$ zmap -p 80 10.0.0.0/8 192.168.0.0/16
Если сканирование началось успешно, ZMap будет выводить обновления статуса в реальном времени:
0% (1h51m left); send:28777 562 Kp/s (560 Kp/s avg); recv:1192 248 p/s (231 p/s avg); hits:0.04%
0% (1h51m left); send:34320 554 Kp/s (559 Kp/s avg); recv:1442 249 p/s (234 p/s avg); hits:0.04%
0% (1h50m left); send:39676 535 Kp/s (555 Kp/s avg); recv:1663 220 p/s (232 p/s avg); hits:0.04%
Эти обновления предоставляют информацию о текущем состоянии сканирования и имеют следующую форму: % -complete (время, оставшееся до конца); количество отправленных пакетов: текущая скорость отправки (avg-send-rate); recv: recv-rate пакетов (avg-recv-rate); hits: процент попаданий.
Если вы не знаете скорость сканирования, которую может поддерживать ваша сеть, вы можете поэкспериментировать с другими скоростями сканирования или ограничениями полосы пропускания, чтобы найти максимальную скорость, которую может поддерживать ваша сеть, прежде чем вы увидите ухудшение результатов.
По умолчанию ZMap выводит список отдельных IP-адресов, которые успешно ответили (например, пакетом SYN-ACK), как показано ниже. Есть несколько дополнительных форматов (например, JSON и Redis) для вывода результатов. Можно указать дополнительные поля вывода, а результаты можно отфильтровать с помощью фильтра вывода.
Если вы обнаружите, что задаете определенные параметры, такие как максимальная пропускная способность или файл черного списка, каждый раз, когда вы запускаете ZMap, вы можете указать их в /etc/zmap/zmap.conf или использовать собственный файл конфигурации.
Если вы пытаетесь устранить проблемы, связанные со сканированием, есть несколько вариантов для помощи в отладке. Во-первых, можно выполнить пробное сканирование, чтобы увидеть пакеты, которые будут отправлены по сети, добавив флаг --dryrun. Кроме того, можно изменить уровень детализации журнала, установив флаг --verbosity=n.
ZMap против Nmap, что быстрее?
Подход с меньшими накладными расходами позволяет ZMap отправлять пакеты более чем в 1000 раз быстрее, чем Nmap.
ZMap для Windows?
В настоящее время Zmap поддерживает только дистрибутивы на базе Unix и Linux.
Скачать
Последнее редактирование модератором:
