Проблема с масскан (WIN non GUI)

[sk8den]

Суть - один и тот же диапазон для сканирования
на 2 серверах
результаты на 1 м сервере 2% сканирования 3203 открытых портов
результаты на 2 м сервере 2% сканирования 340 открытых портов
конфиг серверов с которых сканю одинаковый , везде гигабит интернета одинаковые сетевые адаптеры
А вот результаты разные
Кто-то сталкивался ? Как решали ?

Os windows 2019 firewal-off defender -off
Config

@echo off

masscan.exe -iL ranges.txt -p3389 --open-only --sendq --rate 100000 -oL Output.txt --wait 5 --exclude 255.255.255.255
 

@echo off
Setlocal enableextensions

set file=Output.txt
set res=_Result.txt

(
for /f "usebackq tokens=3-4" %%a in ("%file%") do echo %%b:%%a
) > "%res%"

::pause

 

[f22]

Суть - один и тот же диапазон для сканирования
на 2 серверах
результаты на 1 м сервере 2% сканирования 3203 открытых портов
результаты на 2 м сервере 2% сканирования 340 открытых портов

Диапазон сканирования - внутренняя сеть или интернет?
Сервера в облаке находятся или физические? Провайдеры одни и те же?
Если запустить сначала сканирование со второго сервера, а потом с первого результат изменится?

Трассировка пакетов отличается?

 

[VanDaMus]

Сто тысяч потоков ?
masscan.exe -iL ranges.txt -p3389 --open-only --sendq --rate 100000 -oL Output.txt --wait 5 --exclude 255.255.255.255
При таком количестве потоков страна европейского масштаба сканируется в течение трёх минут.
То есть три минуты - и 100 % результат.
Но ты выдаёшь промежуточный результат - 2 %
Ты сканируешь всю планету ?

Ошибки, скорее всего следующие.
Каков PPS ? Сравнивай PPS.
Ты установил слишком много потоков сканирования. На ста тысячах программа захлёбывается. Вероятно, один из интернет-каналов не может обработать такой поток.
Пропуски на таком количестве потоков - неизбежны.
Сканировать всю планету - занятие сомнительное: результаты сканирования очень скоро придут в негодность. Ведь пользователи включают - выключают свои машины, меняют адреса, пробрасывают порты. Живут. А ты захотел остановить мгновение ?

 

[Pernat1y]

masscan всегда рандомизирует список хостов. Поэтому разный % найденных rdp.

 

[VanDaMus]

masscan всегда рандомизирует список хостов. Поэтому разный % найденных rdp.
Посмотреть вложение 46309

Вероятность того, что перемешивание (или рандомизация на твоём языке) привела к такой разнице - почти в десять раз - равна нулю.
НЕ может причиной его проблем быть рандомизация. Это невозможно.

 

[Pernat1y]

Вероятность того, что перемешивание (или рандомизация на твоём языке) привела к такой разнице - почти в десять раз - равна нулю.
НЕ может причиной его проблем быть рандомизация. Это невозможно.

Возможно. Зависит от того, что за хосты/подсети в словарях.

 

[VanDaMus]

Возможно. Зависит от того, что за хосты/подсети в словарях.

Один и тот-же диапазон сканирования.
Суть - один и тот же диапазон для сканирования

Давай я тебе на одном примере растолкую.
Я услышал его очень давно, но пример настолько впечатлил меня, что время не стёрло его из памяти.

Ты можешь себе представить, что в результате хаотичного (беспорядочного, рандомного) движения частиц, из которого состоит твёрдое тело, вдруг все частицы преимущественно начнут двигаться в одном направлении ? Теоретически - это возможно. Но практически этого никогда не случалось за весь период существования нашей планеты: я пока не видел летающего стола, стульев, чего-то ещё...

В любом хаосе со временем начинают появляться закономерности )
Но сканирования диапазонов программой masscan в данном случае это утверждение не касается никоим образом ))

 

[Pernat1y]

Один и тот-же диапазон сканирования.
Суть - один и тот же диапазон для сканирования

Не убедил. Да, список с диапазонами один, НО, он не равномерен. Т.е. если у нас есть, например, есть
1. Сеть с кучей RDP (например, диапазон хостера, который выдаёт виндовые сервера).
2. Сеть домашнего провайдера с небольшим количеством RDP (сеть, где единичные пользователи сами пробрасывают себе порты в окна).
3. Сеть корпоративная, где RDP не открыт вообще.

В зависимости от того, с какой стороны начнём nmap/masscan, процент будет принципиально отличаться.

 

[VanDaMus]

M-да. Кто-бы мог подумать, что всё настолько запущено ?
Список не равноменый.
Но ведь перемешивание адресов для того и имеет место в программе masscan, чтобы сделать его равномерным.
В этом и заключается смысл "рандомизации".

Твоё утверждение
В зависимости от того, с какой стороны начнём nmap/masscan, процент будет принципиально отличаться.
лишено здравого смысла и вызывает улыбку.
Это аналогично тому, что в барабане стиральной машины правый рукав постирался лучше, а левый - хуже, потому что рубашку положили не той стороной.
А ты юморист, Pernat1y.
Если форумчане из xss почитают твои умозаключения, то будут развеселены. Надеюсь.

 

[Pernat1y]

Но ведь перемешивание адресов для того и имеет место в программе masscan, чтобы сделать его равномерным.

Понимаешь-же, что "перемешивать" тоже можно по-разному:
1. Перемешивать диапазоны, указанные в файле и сканить их. В данном случае "неравномерность" будет присутствовать.
2. Конвертировать все диапазоны в списки айпишников и мешать уже их. Тут да, распределение будет практически однородным.

ЗЫ. Как я понял из описания, они таки используют второй вариант.

 

[VanDaMus]

Чуваки из XSS!
Если у вас модератор малвари утверждает так4ую хrenъ, то савсем туго у вас с малварью.
Оба экземпляра программы находятся в РАВНЫХ условиях. И точка.
Обеим экземплярам вскармливают одинаковый список.
Оба экземпляра одинаково перемешивают.
Перемешивание, в результате которого один экземпляр получил в десять раз меньше валидных адресов, чем аналогичный экземпляр при равных условиях - невозможна.
Прекрати утверждать свои тупости.
Послушай, модератор, вместе с властью приходит ответственность.
Мне уже за русских хакеров в твоём лице стыдно становится.

The fundamental principle is to have a single index variable that starts at zero and is incremented by one for every probe. In C code, this is expressed as:

for (i = 0; i < range; i++) {
    scan(i);
}

We have to translate the index into an IP address. Let's say that you want to scan all "private" IP addresses. That would be the table of ranges like:

192.168.0.0/16
10.0.0.0/8
172.16.0.0/12

In this example, the first 64k indexes are appended to 192.168.x.x to form the target address. Then, the next 16-million are appended to 10.x.x.x. The remaining indexes in the range are applied to 172.16.x.x.

In this example, we only have three ranges. When scanning the entire Internet, we have in practice more than 100 ranges. That's because you have to blacklist or exclude a lot of sub-ranges. This chops up the desired range into hundreds of smaller ranges.

 

[f22]

В зависимости от того, с какой стороны начнём nmap/masscan, процент будет принципиально отличаться.

Очень спорное утверждение: masscan по умолчанию без каких-то дополнительных ключей будет случайным образом перемешивать хосты. Сделано это банально для того, чтобы снизить нагрузку на каждую сеть/подсеть и уменьшить пагубное влияние сканирования.


robertdavidgraham/masscan


Есть подозрение, что после отправки большого числа пакетов в какую-то сеть первым сервером, сеть на время блокирует либо сам IP сервера, либо его подсеть.
Поэтому сканирование вторым сервером с того же IP/подсети (если IP действительно один и тот же или в той же подсети) даёт меньше результатов.

 

[Pernat1y]

Оба экземпляра программы находятся в РАВНЫХ условиях. И точка.
Обеим экземплярам вскармливают одинаковый список.
Оба экземпляра одинаково перемешивают.

Перечитайте ещё раз моё последнее сообщение. Я там так и сказал - "Тут да, распределение будет практически однородным". Хоть и не идеальным.

Перемешивание, в результате которого один экземпляр получил в десять раз меньше валидных адресов, чем аналогичный экземпляр при равных условиях - невозможна.

Опять-же, перечитайте последнее сообщение. Я с этим и не спорю.

Послушай, модератор, вместе с властью приходит ответственность.

А это тут причём?

 

[VanDaMus]

Послушай, модератор, вместе с властью приходит ответственность.
А это тут причём?

Не знаю, наверное я вообразил себе какие-то вещи намного большими, чем они являются в реальности )
Вообще говоря, ты сам должен это понимать. Ответ на этот вопрос должен жить в тебе.
Наверное, и в самом деле, не хакеры, а сборище неадекватной шпаны.
Что с вас взять - то .

Не бери в голову )) Я погорячился )) Извини.

 

[sk8den]

Скажу сразу , диапазоны одни и те же
сервера физ , провайдер 1 количество потоков под гигабитный канал
результаты отличаются ( я понмаю рандомизация и тд , но на 2м серваке при 100 4850 гудов , а на 1м сервере 90+к гудов )
Проблему решил частично сменой ип на втором сервере , при этом старый ип в спам базах не замечен !
оба серва выдают теперь 90+к гудов .
вопрос какого черта ?))))
Чем масскану не понравилась подсеть второго сервера ?

Очень спорное утверждение: masscan по умолчанию без каких-то дополнительных ключей будет случайным образом перемешивать хосты. Сделано это банально для того, чтобы снизить нагрузку на каждую сеть/подсеть и уменьшить пагубное влияние сканирования.
Посмотреть вложение 46314

robertdavidgraham/masscan


Есть подозрение, что после отправки большого числа пакетов в какую-то сеть первым сервером, сеть на время блокирует либо сам IP сервера, либо его подсеть.
Поэтому сканирование вторым сервером с того же IP/подсети (если IP действительно один и тот же или в той же подсети) даёт меньше результатов.

Прикрутил в голове такое же мнение и решил сменить ип и помогло ( попросил реселлера )
но есть легкий нюанс у меня 30 серваков
и на 4 серверах вариант со сменой ip адресов не прокатил результат одинаково хреновый
Конфиги одинаковые проц\память\ссд
Канал 1гб\с
параметр kbps 99.3-99.8
вот думаю ломаю голову теперь)))

 

[ksv]

1 Cервер - ты забил канал своими 100к потоками и масскан писал отсебятину.
2 Сервер - канал по-мощнее и скорее всего масскан писал верно.