masscanned
v0.2.0
Masscanned (nome inspirado, claro, em masscan) é um respondedor de rede. Seu objetivo é fornecer respostas genéricas ao maior número possível de protocolos e com o menor número possível de suposições sobre as intenções do cliente.
Deixe-os falar primeiro.
Assim como o masscan, o masscanned implementa sua própria pilha de rede na área do usuário, de forma semelhante ao honeyd. Ele foi projetado para interagir com scanners e bots oportunistas tanto quanto possível e para suportar tantos protocolos quanto possível.
Por exemplo, quando recebe pacotes de rede:
ARP who is-at com ARP is-at (para seus endereços IP),ICMP Echo Request com ICMP Echo Reply ,TCP SYN (qualquer porta) com TCP SYN/ACK em qualquer porta,HTTP (qualquer verbo) sobre TCP/UDP (qualquer porta) com uma página da web HTTP 401 . 
Atualmente, o Masscanned suporta os protocolos mais comuns nas camadas 2-3-4 e alguns protocolos de aplicação.
$ cargo build
# ip netns add masscanned
# ip link add vethmasscanned type veth peer veth netns masscanned
# ip link set vethmasscanned up
# ip -n masscanned link set veth up
# ip addr add dev vethmasscanned 192.168.0.0/31
# ip netns exec masscanned ./target/debug/masscanned --iface veth -v[vv]
# arping 192.168.0.1
# ping 192.168.0.1
# nc -n -v 192.168.0.1 80
# nc -n -v -u 192.168.0.1 80
...
# apt install docker.io
$ cd masscanned/docker && docker build -t masscanned:test .
$ docker run --cap-add=NET_ADMIN masscanned:test
# arping 172.17.0.2
# ping 172.17.0.2
# nc -n -v 172.17.0.2 80
# nc -n -v -u 172.17.0.2 80
...
Um bom uso do masscanned é implantá-lo em um VPS com um ou mais endereços IP públicos.
Para usar os resultados, a melhor maneira é capturar todo o tráfego de rede na interface que a varredura em massa está ouvindo/respondendo. Os pcaps podem então ser analisados usando zeek e os arquivos de saída normalmente podem ser enviados em uma instância do IVRE .
Uma documentação sobre como implantar uma instância de varredura em massa em um VPS está chegando (veja o problema nº 2).
Network answering machine for various network protocols (L2-L3-L4 + applications)
Usage: masscanned [OPTIONS] --iface <iface>
Options:
-i, --iface <iface>
the interface to use for receiving/sending packets
-m, --mac-addr <mac>
MAC address to use in the response packets
--self-ip-file <selfipfile>
File with the list of IP addresses handled by masscanned
--self-ip-list <selfiplist>
Inline list of IP addresses handled by masscanned, comma-separated
--remote-ip-deny-file <remoteipdenyfile>
File with the list of IP addresses from which masscanned will ignore packets
--remote-ip-deny-list <remoteipdenylist>
Inline list of IP addresses from which masscanned will ignore packets
-v...
Increase message verbosity
-q, --quiet
Quiet mode: do not output anything on stdout
--format <format>
Format in which to output logs [default: console] [possible values: console, logfmt]
-h, --help
Print help information
-V, --version
Print version information
masscanned responde a solicitações ARP , para solicitações direcionadas a um endereço IPv4 que é tratado por masscanned ( ou seja , um endereço que está no arquivo de endereço IP fornecido com a opção -f ).
A resposta contém o primeiro dos seguintes endereços MAC possíveis:
MAC especificado com -a na linha de comando, se houver,MAC da interface especificada com -i na linha de comando, se houver,MAC padrão masscanned , ou seja , c0:ff:ee:c0:ff:ee . respostas masscanned para quadros Ethernet , se e somente se os seguintes requisitos forem atendidos:
o endereço de destino do quadro deve ser tratado por masscanned , o que significa:
MAC masscanned ,MAC ff:ff:ff:ff:ff:ffMAC multicast correspondente a um dos endereços IPv4 tratados por masscanned (RFC 1112),MAC multicast correspondente a um dos endereços IPv6 tratados pelo masscanned ; O campo EtherType é ARP , IPv4 ou IPv6 .
Nota: mesmo para um endereço IP não multicast, masscanned responderá aos quadros L2 endereçados ao endereço MAC multicast correspondente. Por exemplo, se masscanned lidar com 10.11.12.13 , ele responderá aos frames endereçados a 01:00:5e:0b:0c:0d .
respostas masscanned para pacotes IPv4 e IPv6 , somente se:
IP é especificado em um arquivo ( ou seja , nenhuma opção -f é especificada ou o arquivo está vazio),ou
masscanned .Um requisito adicional é que o protocolo da próxima camada seja suportado – veja abaixo.
Os seguintes protocolos L3+/4 são suportados para um pacote IPv4 :
ICMPv4UDPTCPSe o protocolo da próxima camada não for um deles, o pacote será descartado.
Os seguintes protocolos L3+/4 são suportados para um pacote IPv6 :
ICMPv6UDPTCPSe o protocolo da próxima camada não for um deles, o pacote será descartado.
respostas masscanned para pacotes ICMPv4 se e somente se:
ICMP do pacote recebido é EchoRequest ( 8 ),ICMP do pacote recebido é 0 . Se essas condições forem atendidas, masscanned responde com um pacote ICMP do tipo EchoReply ( 0 ), código 0 e a mesma carga do pacote recebido, conforme especificado pela RFC 792.
respostas masscanned para pacotes ICMPv6 se e somente se:
ICMP é NeighborSol ( 135 ) e :masscannedmasscanned Nesse caso, a resposta é um pacote Neighbor Advertisement ( 136 ) com endereço MAC masscanned
ou
ICMP é EchoRequest ( 128 ) Nesse caso, a resposta é um pacote EchoReply ( 129 ).
respostas masscanned para os seguintes pacotes TCP :
PSH e ACK , masscanned verifica o SYNACK-cookie e, se válido, responde pelo menos um ACK ou um PSH-ACK se um protocolo suportado (camada 5/6/7) foi detectado,ACK , ele será ignorado,RST ou FIN-ACK , ele é ignorado,SYN , masscanned tentará imitar o comportamento de uma pilha padrão do Linux - que é:PSH , URG , CWR , ECE , então o SYN será ignorado,CWR e ECE forem definidos simultaneamente, o SYN será ignorado,masscanned responde com um pacote SYN-ACK , definindo um cookie SYNACK no número de sequência. respostas masscanned a um pacote UDP se e somente se o protocolo da camada superior for tratado e fornecer uma resposta.
respostas masscanned para qualquer solicitação HTTP (qualquer verbo válido ) com um 401 Authorization Required . Observe que as solicitações HTTP com verbo inválido não serão respondidas.
Exemplo:
$ curl -X GET 10.11.10.129
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.14.2</center>
</body>
</html>
$ curl -X OPTIONS 10.11.10.129
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.14.2</center>
</body>
</html>
$ curl -X HEAD 10.11.10.129
Warning: Setting custom HTTP method to HEAD with -X/--request may not work the
Warning: way you want. Consider using -I/--head instead.
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.14.2</center>
</body>
</html>
$ curl -X XXX 10.11.10.129
[timeout]
Exemplo:
$ stun 10.11.10.129
STUN client version 0.97
Primary: Open
Return value is 0x000001
respostas masscanned para cliente SSH Client: Protocol com o seguinte Server: Protocol :
SSH-2.0-1rn
masscanned responde a pacotes Negotiate Protocol Request para que o cliente envie um NTLMSSP_NEGOTIATE , ao qual masscanned responde com um desafio.
Exemplo:
##$ smbclient -U user \\10.11.10.129\shared
Enter WORKGROUPuser's password:
respostas masscanned para consultas DNS de classe IN e tipo A (por enquanto). A resposta fornecida sempre contém o endereço IP para o qual a consulta foi enviada.
Exemplo:
$ host -t A masscan.ned 10.11.10.129
Using domain server:
Name: 10.11.10.129
Address: 10.11.10.129#53
Aliases:
masscan.ned has address 10.11.10.129
$ host -t A masscan.ned 10.11.10.130
Using domain server:
Name: 10.11.10.130
Address: 10.11.10.130#53
Aliases:
masscan.ned has address 10.11.10.130
$ host -t A masscan.ned 10.11.10.131
Using domain server:
Name: 10.11.10.131
Address: 10.11.10.131#53
Aliases:
masscan.ned has address 10.11.10.131
$ host -t A masscan.ned 10.11.10.132
Using domain server:
Name: 10.11.10.132
Address: 10.11.10.132#53
Aliases:
masscan.ned has address 10.11.10.132
$ cargo test
Compiling masscanned v0.2.0 (/zdata/workdir/masscanned)
Finished test [unoptimized + debuginfo] target(s) in 3.83s
Running unittests (target/debug/deps/masscanned-f9292f8600038978)
running 92 tests
test client::client_info::tests::test_client_info_eq ... ok
test layer_2::arp::tests::test_arp_reply ... ok
test layer_2::tests::test_eth_empty ... ok
test layer_2::tests::test_eth_reply ... ok
test layer_3::ipv4::tests::test_ipv4_reply ... ok
test layer_3::ipv4::tests::test_ipv4_empty ... ok
test layer_3::ipv6::tests::test_ipv6_empty ... ok
test layer_3::ipv6::tests::test_ipv6_reply ... ok
test layer_4::icmpv4::tests::test_icmpv4_reply ... ok
test layer_4::icmpv6::tests::test_icmpv6_reply ... ok
test layer_4::icmpv6::tests::test_nd_na_reply ... ok
test layer_4::tcp::tests::test_synack_cookie_ipv6 ... ok
test layer_4::tcp::tests::test_tcp_fin_ack_wrap ... ok
test proto::dns::cst::tests::class_parse ... ok
test layer_4::tcp::tests::test_tcp_fin_ack ... ok
test layer_4::tcp::tests::test_synack_cookie_ipv4 ... ok
test proto::dns::cst::tests::type_parse ... ok
test proto::dns::header::tests::parse_byte_by_byte ... ok
test proto::dns::header::tests::repl_id ... ok
test proto::dns::header::tests::repl_opcode ... ok
test proto::dns::header::tests::repl_ancount ... ok
test proto::dns::header::tests::repl_rd ... ok
test proto::dns::query::tests::parse_in_a_all ... ok
test proto::dns::header::tests::parse_all ... ok
test proto::dns::query::tests::repl ... ok
test proto::dns::query::tests::reply_in_a ... ok
test proto::dns::rr::tests::parse_all ... ok
test proto::dns::rr::tests::parse_byte_by_byte ... ok
test proto::dns::query::tests::parse_in_a_byte_by_byte ... ok
test proto::dns::tests::parse_qd_all ... ok
test proto::dns::tests::parse_qd_byte_by_byte ... ok
test proto::dns::rr::tests::build ... ok
test proto::dns::tests::parse_qd_rr_all ... ok
test proto::dns::tests::parse_qr_rr_byte_by_byte ... ok
test proto::dns::tests::parse_rr_byte_by_byte ... ok
test proto::dns::tests::parse_rr_all ... ok
test proto::dns::tests::reply_in_a ... ok
test proto::http::tests::test_http_request_line ... ok
test proto::http::tests::test_http_request_no_field ... ok
test proto::http::tests::test_http_request_field ... ok
test proto::http::tests::test_http_verb ... ok
test proto::rpc::tests::test_probe_nmap ... ok
test proto::rpc::tests::test_probe_nmap_split1 ... ok
test proto::rpc::tests::test_probe_portmap_v4_dump ... ok
test proto::rpc::tests::test_probe_nmap_split2 ... ok
test proto::rpc::tests::test_probe_nmap_udp ... ok
test proto::smb::tests::test_smb1_session_setup_request_parse ... ok
test proto::smb::tests::test_smb1_protocol_nego_parsing ... ok
test proto::smb::tests::test_smb1_protocol_nego_reply ... ok
test proto::smb::tests::test_smb1_session_setup_request_reply ... ok
test proto::smb::tests::test_smb2_protocol_nego_parsing ... ok
test proto::smb::tests::test_smb2_protocol_nego_reply ... ok
test proto::smb::tests::test_smb2_session_setup_request_reply ... ok
test proto::smb::tests::test_smb2_session_setup_request_parse ... ok
test proto::ssh::tests::ssh_1_banner_cr ... ok
test proto::ssh::tests::ssh_1_banner_crlf ... ok
test proto::ssh::tests::ssh_1_banner_lf ... ok
test proto::ssh::tests::ssh_1_banner_space ... ok
test proto::ssh::tests::ssh_2_banner_cr ... ok
test proto::ssh::tests::ssh_1_banner_parse ... ok
test proto::ssh::tests::ssh_2_banner_parse ... ok
test proto::ssh::tests::ssh_2_banner_lf ... ok
test proto::ssh::tests::ssh_2_banner_crlf ... ok
test proto::stun::tests::test_change_request_port_overflow ... ok
test proto::stun::tests::test_proto_stun_ipv4 ... ok
test proto::stun::tests::test_change_request_port ... ok
test proto::ssh::tests::ssh_2_banner_space ... ok
test proto::stun::tests::test_proto_stun_ipv6 ... ok
test proto::tcb::tests::test_proto_tcb_proto_state_http ... ok
test proto::tests::dispatch_dns ... ok
test proto::tcb::tests::test_proto_tcb_proto_state_rpc ... ok
test proto::tcb::tests::test_proto_tcb_proto_id ... ok
test proto::tests::test_proto_dispatch_http ... ok
test proto::tests::test_proto_dispatch_ssh ... ok
test proto::tests::test_proto_dispatch_ghost ... ok
test proto::tests::test_proto_dispatch_stun ... ok
test smack::smack::tests::test_anchor_end ... ok
test smack::smack::tests::test_multiple_matches_wildcard ... ok
test smack::smack::tests::test_multiple_matches ... ok
test smack::smack::tests::test_anchor_begin ... ok
test smack::smack::tests::test_http_banner ... ok
test synackcookie::tests::test_clientinfo ... ok
test synackcookie::tests::test_ip4 ... ok
test synackcookie::tests::test_ip4_dst ... ok
test synackcookie::tests::test_ip4_src ... ok
test synackcookie::tests::test_ip6 ... ok
test synackcookie::tests::test_key ... ok
test synackcookie::tests::test_tcp_dst ... ok
test synackcookie::tests::test_tcp_src ... ok
test smack::smack::tests::test_wildcard ... ok
test smack::smack::tests::test_proto ... ok
test smack::smack::tests::test_pattern ... ok
test result: ok. 92 passed; 0 failed; 0 ignored; 0 measured; 0 filtered out; finished in 0.41s
# ./test/test_masscanned.py
INFO test_arp_req......................................OK
INFO test_arp_req_other_ip.............................OK
INFO test_ipv4_udp_dns_in_a............................OK
INFO test_ipv4_udp_dns_in_a_multiple_queries...........OK
INFO test_ipv4_tcp_ghost...............................OK
INFO test_ipv4_tcp_http................................OK
INFO test_ipv4_tcp_http_segmented......................OK
INFO test_ipv4_tcp_http_incomplete.....................OK
INFO test_ipv6_tcp_http................................OK
INFO test_ipv4_udp_http................................OK
INFO test_ipv6_udp_http................................OK
INFO test_ipv4_tcp_http_ko.............................OK
INFO test_ipv4_udp_http_ko.............................OK
INFO test_ipv6_tcp_http_ko.............................OK
INFO test_ipv6_udp_http_ko.............................OK
INFO test_icmpv4_echo_req..............................OK
INFO test_icmpv6_neighbor_solicitation.................OK
INFO test_icmpv6_neighbor_solicitation_other_ip........OK
INFO test_icmpv6_echo_req..............................OK
INFO test_ipv4_req.....................................OK
INFO test_eth_req_other_mac............................OK
INFO test_ipv4_req_other_ip............................OK
INFO test_rpc_nmap.....................................OK
INFO test_rpcinfo......................................OK
INFO test_smb1_network_req.............................OK
INFO test_smb2_network_req.............................OK
INFO test_ipv4_tcp_ssh.................................OK
INFO test_ipv4_udp_ssh.................................OK
INFO test_ipv6_tcp_ssh.................................OK
INFO test_ipv6_udp_ssh.................................OK
INFO test_ipv4_udp_stun................................OK
INFO test_ipv6_udp_stun................................OK
INFO test_ipv4_udp_stun_change_port....................OK
INFO test_ipv6_udp_stun_change_port....................OK
INFO test_ipv4_tcp_empty...............................OK
INFO test_ipv6_tcp_empty...............................OK
INFO test_tcp_syn......................................OK
INFO test_ipv4_tcp_psh_ack.............................OK
INFO test_ipv6_tcp_psh_ack.............................OK
INFO test_ipv4_udp_empty...............................OK
INFO test_ipv6_udp_empty...............................OK
INFO Ran 41 tests with 0 errors
Você também pode escolher quais testes serão executados usando a variável de ambiente TESTS
TESTS=smb ./test/test_masscanned.py
INFO test_smb1_network_req.............................OK
INFO test_smb2_network_req.............................OK
INFO Ran 2 tests with 0 errors
Verbos :
initrecvsenddrop $ts arp $verb $operation $client_mac $client_ip $masscanned_mac $masscanned_ip
$ts eth $verb $ethertype $client_mac $masscanned_mac
