搭建分布式端口扫描系统

一、序言

本人在小公司里打酱油,但时刻关注着大公司的玩法,不谦虚的说俺是很有上进心的。基于《几个linux端口扫描器》这个文章 ,往前走一步就是分布式的了。

 

二、为神马要端口扫描?

1、know it。如果咱不know,黑客就帮我们know了,只是黑客会比我们多走一步,那就是hack it。

2、ITIL的切入点之一。资产管理、变更管理。

三、目标和效果:

1、扫描TCP 1-65535端口

2、至少每天准确的输出结果,无误报,无漏报。

3、状态跟踪。输出纵向所有端口的变更,输出横向主机的端口变更。

4、识别端口所提供的应用。

其中1和2属于第一阶段目标,3属于第二阶段目标。我们今天暂时聚焦第一阶段目标。

四、场景

2W台待服务器

五、HOWTO

1、方法

synscan的sslog跑在若干台扫描机上,日志存在一个NFS共享目录即可,由于sslog的日志是递增写入的,不会覆盖之前的数据。synscan程序见 http://www.91ri.org/2287.html

用shell mysql php对日志文件分析,入库,输出报表。

2、成本

下面的数据保守估计的,由于本人只是在5Mb的环境里测试过,实际上更多的带宽能提高扫描速度,同时一台普通的DELL R410完全能够对10M的流量进行简单的分析。

单机:扫描100台要1个小时。那么扫描2W台要200小时,也就是8.3天。

4台机器:2天。

4台机器+带宽*8放大到40Mb:0.25天。

也就是说,4台机器,每台10M带宽,1/4天可以扫描2w台服务器的1-65535端口一次。一天跑满可以扫4次。可以根据自己的实际情况调整资源的投入或预期。

时间成本、带宽成本和硬件成本都是一个拥有2W台服务器的企业完全可以承受的。

本文转自素包子博客由网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.转载本文请著名原文地址及版权信息。