用nmap快速可靠地扫描B类网络

Question

我需要在短时间内扫描B类网络。需求是非常直接的。我想：

1. 尽可能快地扫描
2. 在保持可靠性的同时完成第1点( 10中缺少1/2是可以接受的)
3. 实现第1点，同时尽量减少对其他网络用户的干扰

我将从网络内部进行扫描。这是我到目前为止所做的决定。

nmap -p 0-65535 172.22.0.0/16 (端口范围和ip只是样本)

-Pn跳过主机发现

--min-hostgroup 256一次扫描256个ip地址

--ttl 10我认为这降低了网络噪音。如果我错了，请纠正我

--max-retries 1我发现这在不牺牲太多可靠性的情况下加快了扫描速度。

这是我的问题

1. 我正在考虑使用-T4选项，但不确定它会对可靠性和其他用户的网络速度产生多大影响。如何确定是否使用此选项？
2. 在不影响需求2和3的情况下，是否有其他提高扫描速度的确定方法？

Answer 1

基本上有四样东西需要很长时间才能扫描：

1. 发送你不需要发送的探测
2. 延迟
3. 丢包
4. 目标响应的速率限制

加速扫描通常是通过测量和计划每一个方面来完成的，直到你达到你想要的速度，同时保持准确性。

关于1，这里最大的问题是-Pn，它禁止主机发现。主机发现是Nmap如何知道哪些地址值得进行端口扫描("up")，哪些地址不会以任何方式响应，通常是因为没有配置该地址的主机。在/16网络中，您将扫描65536个地址。如果你知道你在网络上只有5000项资产，那么92%的扫描将被浪费掉。使用-P*来处理各种-sn选项，以避免实际的端口扫描，直到您找到一组在您的网络上工作良好的探测。现在，如果您可以以其他方式进行发现，比如使用-iL从内部IDS传感器导入活动地址列表，那么可以使用-Pn来避免跳过您知道的地址，因为它不会响应默认的发现探测。

可能丢失的另一个潜在的探针浪费是反向DNS名称解析。这是一个很好的信息来源，而且Nmap非常快，但是如果您不需要知道每个地址的DNS名称(PTR记录)，那么添加-n将完全停止这个阶段，节省您一些宝贵的时间。

对于2，延迟通常是你无法控制的事情。但是，让Nmap知道您期望的延迟是明智的。如果您在局域网上，那么设置--max-rtt-timeout可以帮助加快扫描速度，方法是告诉Nmap不要等待太久才能听到任何特定数据包的回音。但是要小心不要过于乐观；如果Nmap过早放弃，它会将数据包计算为丢弃，并会放慢速度以避免进一步下降。使用试用-sn运行的延迟信息来了解最坏的情况，然后加倍才是安全的。如果您的网络速度相当快，它仍将低于默认值。

说到丢弃的数据包(我们列表中的第3位)，这是当你试图扫描得太快时不准确的主要原因。如果目标本身的资源非常受限(比如ICS或IoT设备)，您可以使用自己的链接或目标本身的功能。如果您的网络速度快，并且能够有足够多的丢弃数据包，您可以将--max-retries设置为比默认的( 10)更低的数目，以加快速度，这样就有可能出现一些错误。因为Nmap检测丢弃的数据包并减慢速度，所以您可能不会在超过几秒钟内影响其他任何人的通信量，除非您使用--min-rate继续对数据包进行灭火。

数字4，目标的速率限制，是很棘手的，因为它不是在你的控制之下(除非你可以让你的扫描机器被任何限制速度的东西白名单)。不过，有几个技巧:对于特定类型的TCP分级消除，--defeat-rst-ratelimit选项将允许您保持扫描速度，而代价是将一些端口标记为“筛选”，这些端口可能实际上“关闭”。开放的端口不会受到影响，这通常是您感兴趣的全部。

定时模板(如您提到的-T4 )将为您设置这些选项中的一些，但是您总是可以使用更特定的选项来覆盖它们。检查手册页，查看您使用的Nmap版本，看看每个模板设置了哪些选项。请注意，-T5设置了--host-timeout选项，因此，如果任何目标需要超过15分钟才能完成(通过全端口扫描非常可能)，则它将被删除，并且不会显示输出。

使用--ttl设置较低的IP值将不会降低网络噪声，除非您有路由循环。如果这对你来说很重要的话，它会阻止你的探测器到达10跳以上的目标。

最后，始终确保使用提供最新的Nmap版本。我们一直在进行改进，使扫描更快、更可靠。