從https://www.ddosi.com/b103/這個博客得知Masscan是可以掃描UDP端口的左敌,于是用以下命令掃描某/8網(wǎng)段開放了SSDP服務(wù)的主機:
bin/masscan *.0.0.0/8 -pU:1900 --rate 100000 -oX masscan.xml
掃描信息如下:
掃描結(jié)果
這張圖顯示了掃描的時候使用了SYN Stealth Scan巾陕,我覺得很奇怪扶檐,掃描UDP端口為什么還要用SYN靠汁,于是用tcpdump抓包分析了一下這些掃描包德频,如下圖所示兢孝,都是SSDP的掃描包局劲,不存在SYN包。我也不清楚掃描軟件為什么會顯示這個信息屈藐。
隨機掃描
我查看了這些掃描包榔组,如下圖所示,是SSDP協(xié)議的M-SEARCH請求包联逻,這說明Masscan對不同UDP端口會針對性地使用該端口協(xié)議的探測包搓扯,這一點應(yīng)該和Nmap類似。這個USER-AGENT字段直接顯示這是masscan的掃描包遣妥,所以在被動流量很容易判斷masscan的掃描包擅编。
Masscan SSDP掃描包
接下來我查看了掃描的結(jié)果,發(fā)現(xiàn)有很多重復結(jié)果箫踩。如下圖所示爱态,同一個IP出現(xiàn)了10次。
存在重復結(jié)果
于是我又查看了掃描數(shù)據(jù)包境钟,發(fā)現(xiàn)是SSDP回復了10個數(shù)據(jù)包锦担,masscan又是一個無狀態(tài)異步的掃描器,所以就記錄了10次慨削。
存在重復結(jié)果的原因
這里有一個小靈感洞渔,統(tǒng)計結(jié)果中的各IP出現(xiàn)的次數(shù),出現(xiàn)次數(shù)多說明回復包比較多缚态,因此這個IP可以作為SSDP反射放大器磁椒,以此類推,NTP反射放大器也可以通過這種方式統(tǒng)計到玫芦。
