Wyliczanie hostów jest jedną z pierwszych rzeczy, które prawdopodobnie robisz podczas zbierania informacji w ramach testu penetracyjnego. To, co w zasadzie robisz, to nawiązanie aktywnych połączeń z hostami docelowymi i próba zebrania jak największej ilości danych za pomocą zapytań w celu zidentyfikowania potencjalnych wektorów ataku w systemie. Podczas gdy enumeracja hostów jest wykonywana zarówno wewnętrznie jak i zewnętrznie, jest ona wykonywana za pomocą narzędzi takich jak Nmap i Masscan. Istnieją jednak skanery podatności, które również mogą to zrobić w ramach testów automatycznych. My jednak zamierzamy dobrze przyjrzeć się Nmapowi i Masscanowi i spróbować zrozumieć ich różnice.
Nmap
Network Mapper (Nmap) jest jednym z najbardziej powszechnych i szeroko stosowanych narzędzi do rozpoznania sieci. Jest używany w zaangażowaniu testów penetracyjnych i jest audytem bezpieczeństwa w cyberbezpieczeństwie. Jest to darmowe, open source’owe narzędzie do odkrywania sieci używane do odkrywania hostów i usług w sieci komputerowej. Nmap jest niezbędnym narzędziem dla etycznych hakerów i jest dostępny na wszystkich platformach. Został zaprojektowany specjalnie do analizowania ogromnych sieci, jak również pojedynczych hostów. Narzędzie to zostało pierwotnie opracowane przez Gordona Lyona, niesławnie znanego jako „Fiodor”. Podczas gdy istnieją inne skanery portów używane do szybkiego skanowania, Nmap jest prawdopodobnie jedynym, który ma wbudowany silnik skryptowy. Nmap jest nadal de facto narzędziem do skanowania sieci w branży bezpieczeństwa informacji.
Masscan
Masscan to kolejny popularny skaner portów, który został stworzony do bardzo szybkiego skanowania dużych sieci. Nmap potrafi skanować duże bloki adresowe, ale nie został zaprojektowany wyłącznie z myślą o tej funkcji. Podobnie jak Nmap, Masscan jest otwartym skanerem portów na skalę internetową, ale jest znany z dużej szybkości działania, potrafi przeskanować cały Internet IPv4 w mniej niż pięć minut i przesłać 10 milionów pakietów w ciągu sekundy, a wszystko to z jednej maszyny. W rzeczywistości został on opracowany wyłącznie w tym celu – aby przeskanować cały Internet tak szybko, jak to możliwe. Przydaje się to do badania internetu na dużą skalę lub sieci wewnętrznych. Wymaga to jednak odpowiedniego sprzętu i przepustowości sieci.
Różnica między Nmapem a Masscanem
Funkcjonalność
– Podczas gdy zarówno Nmap jak i Masscan są dwoma najpopularniejszymi skanerami portów do skanowania sieci, rozpoznania i audytu bezpieczeństwa, Masscan jest narzędziem zaprojektowanym specjalnie do wykonywania bardzo dużych skanów sieci bardzo szybko. Mimo, że Nmap jest nadal narzędziem de facto do skanowania sieci, co oczywiście odróżnia to narzędzie od innych, nie zostało ono stworzone wyłącznie do skanowania bardzo dużych bloków adresowych. Nie jest on zbyt dobrze zoptymalizowany do skanowania na dużą skalę.
Speed
– Zarówno Nmap jak i Masscan są darmowymi, otwartymi narzędziami do odkrywania sieci i dają w zasadzie takie same wyniki. Jednak Masscan jest naprawdę szybkim skanerem portów na skalę internetową, który wykorzystuje skanowanie w trybie asynchronicznym, aby dostarczyć wyniki znacznie szybciej niż w przypadku Nmapa. W rzeczywistości, nie będzie błędem stwierdzenie, że Masscan jest najszybszym skanerem portów internetowych, zdolnym do przeskanowania całego Internetu IPv4 w ciągu zaledwie pięciu minut, przesyłając około 10 milionów pakietów w ciągu sekundy, z jednej maszyny.
Tryb komunikacji
– Skanery portów mogą być klasyfikowane jako synchroniczne lub asynchroniczne, co w zasadzie określa ich możliwości skanowania. Masscan używa trybu asynchronicznego do skanowania całego Internetu w czasie poniżej pięciu minut. Jako skaner portów TCP, Masscan wysyła wiadomość i zamiast czekać na odpowiedź hosta, wysyła ją dalej tworząc osobne wątki dla każdego portu. Ta zdolność sprawia, że transmituje on z dużą prędkością. Z kolei Nmap używa komunikacji synchronicznej i czeka na odpowiedź hosta, aby określić, czy port jest żywy. Dlatego skanery synchroniczne, takie jak Nmap, są wolniejsze.
Podsumowanie
Jeśli chodzi o bezpieczeństwo informacji, Nmap jest wciąż de facto standardem skanowania sieci i audytu bezpieczeństwa. Umożliwia on skanowanie sieci i pozwala określić, co i kto jest do niej podłączony, wraz ze wszystkimi informacjami o tym, co jest podłączone, jakie usługi obsługuje każdy host itd. Ale, Nmap nie jest jedynym skanerem portów, który to robi. Jest Masscan, który jest szybkim i niezawodnym narzędziem do rozpoznania sieci, specjalnie zaprojektowanym do bardzo szybkiego wykonywania bardzo dużych skanów sieci.
Czy Masscan korzysta z Nmapa?
Masscan jest skanerem portów sieciowych, działa na wiele sposobów podobnie do Nmapa. Jednak Masscan jest naprawdę szybki, dzięki dużej przepustowości i technice skanowania w trybie asynchronicznym.
Do czego wykorzystywany jest Masscan?
Masscan jest bardzo podobny do Nmapa, ale jest specjalnie opracowany do wykonywania bardzo dużych skanów sieci bardzo szybko. Używa tego samego rodzaju parametrów linii poleceń co Nmap. Jest używany do wyliczania dużej liczby hostów.
Czy jest coś lepszego niż Nmap?
Istnieje całkiem sporo narzędzi, które mogą być używane do monitorowania sieci, takich jak Angry IP Scanner, Dipiscan, ZMap Project, Masscan i tak dalej.
Jaka jest różnica między Nmapem a Nessusem?
Nmap to w zasadzie skaner portów open source, który służy do skanowania sieci w celu zebrania informacji o otwartych portach. Nessus jest skanerem luk w zabezpieczeniach używanym głównie do identyfikacji i oceny luk w zabezpieczeniach infrastruktury IT.
Czy Masscan jest lepszy od Nmapa?
to szybkie i niezawodne narzędzie do rozpoznawania sieci, zaprojektowane specjalnie do szybkiego wykonywania bardzo dużych skanów sieci. Jednak Nmap posiada również pewne cechy i funkcjonalności, które są ekskluzywne dla Nmapa. Ponadto, Nmap jest de facto narzędziem do skanowania sieci.
Jak uruchomić Masscan w systemie Windows?
Repozytorium Masscana można znaleźć na Dla Windows, użyj projektu VS10 i użyj MinGW i wpisz 'make.’