masscanned
v0.2.0
Masscanned (название, конечно, вдохновлено Masscan) — сетевой ответчик. Его цель — предоставить общие ответы на как можно большее количество протоколов и с как можно меньшим количеством предположений о намерениях клиента.
Пусть они сначала поговорят.
Как и в случае с Masscan, Masscanned реализует свой собственный сетевой стек пользовательского пространства, аналогично Honeyd. Он предназначен для максимально возможного взаимодействия со сканерами и оппортунистическими ботами и поддержки как можно большего количества протоколов.
Например, когда он получает сетевые пакеты:
ARP who is-at на ARP is-at (для его IP-адресов),ICMP Echo Request с ICMP Echo Reply ,TCP SYN (любой порт) с TCP SYN/ACK на любом порту,HTTP запросы (любой глагол) через TCP/UDP (любой порт) с веб-страницей HTTP 401 . 
В настоящее время Masscanned поддерживает большинство распространенных протоколов на уровнях 2–3–4, а также несколько прикладных протоколов.
$ cargo build
# ip netns add masscanned
# ip link add vethmasscanned type veth peer veth netns masscanned
# ip link set vethmasscanned up
# ip -n masscanned link set veth up
# ip addr add dev vethmasscanned 192.168.0.0/31
# ip netns exec masscanned ./target/debug/masscanned --iface veth -v[vv]
# arping 192.168.0.1
# ping 192.168.0.1
# nc -n -v 192.168.0.1 80
# nc -n -v -u 192.168.0.1 80
...
# apt install docker.io
$ cd masscanned/docker && docker build -t masscanned:test .
$ docker run --cap-add=NET_ADMIN masscanned:test
# arping 172.17.0.2
# ping 172.17.0.2
# nc -n -v 172.17.0.2 80
# nc -n -v -u 172.17.0.2 80
...
Хорошим вариантом использования Masscanned является его развертывание на VPS с одним или несколькими общедоступными IP-адресами.
Чтобы использовать результаты, лучше всего перехватить весь сетевой трафик на интерфейсе, который Masscanned прослушивает и на котором отвечает. Затем pcaps можно проанализировать с помощью zeek, а выходные файлы обычно можно отправить в экземпляр IVRE .
Скоро появится документация о том, как развернуть экземпляр Masscanned на VPS (см. выпуск №2).
Network answering machine for various network protocols (L2-L3-L4 + applications)
Usage: masscanned [OPTIONS] --iface <iface>
Options:
-i, --iface <iface>
the interface to use for receiving/sending packets
-m, --mac-addr <mac>
MAC address to use in the response packets
--self-ip-file <selfipfile>
File with the list of IP addresses handled by masscanned
--self-ip-list <selfiplist>
Inline list of IP addresses handled by masscanned, comma-separated
--remote-ip-deny-file <remoteipdenyfile>
File with the list of IP addresses from which masscanned will ignore packets
--remote-ip-deny-list <remoteipdenylist>
Inline list of IP addresses from which masscanned will ignore packets
-v...
Increase message verbosity
-q, --quiet
Quiet mode: do not output anything on stdout
--format <format>
Format in which to output logs [default: console] [possible values: console, logfmt]
-h, --help
Print help information
-V, --version
Print version information
ответы masscanned на запросы ARP для запросов, нацеленных на адрес IPv4 , обрабатываемый masscanned ( т. е. адрес, который находится в файле IP-адресов, указанном с опцией -f ).
Ответ содержит первый из следующих возможных MAC адресов:
MAC адрес, указанный с помощью -a в командной строке, если таковой имеется,MAC адрес интерфейса, указанный с помощью -i в командной строке, если таковой имеется,MAC адрес по умолчанию, masscanned , т. е . c0:ff:ee:c0:ff:ee . masscanned ответов на кадры Ethernet тогда и только тогда, когда выполняются следующие требования:
адрес назначения кадра должен обрабатываться masscanned , что означает:
masscanned собственного MAC адреса,MAC адрес ff:ff:ff:ff:ff:ffMAC адрес многоадресной рассылки, соответствующий одному из адресов IPv4 , обрабатываемых masscanned (RFC 1112),MAC адрес многоадресной рассылки, соответствующий одному из адресов IPv6 , обрабатываемых masscanned ; Поле EtherType может быть одним из ARP , IPv4 или IPv6 .
Примечание. Даже для IP-адреса, не поддерживающего многоадресную рассылку, masscanned будет отвечать на кадры L2, адресованные соответствующему MAC адресу многоадресной рассылки. Например, если masscanned обрабатывает 10.11.12.13 , он будет отвечать на кадры, адресованные 01:00:5e:0b:0c:0d .
masscanned ответов на пакеты IPv4 и IPv6 , только если:
IP адрес ( т. е . не указана опция -f или файл пуст),или
masscanned .Дополнительным требованием является поддержка протокола следующего уровня – см. ниже.
Для пакета IPv4 поддерживаются следующие протоколы L3+/4:
ICMPv4UDPTCPЕсли протокол следующего уровня не входит в их число, пакет отбрасывается.
Для пакета IPv6 поддерживаются следующие протоколы L3+/4:
ICMPv6UDPTCPЕсли протокол следующего уровня не входит в их число, пакет отбрасывается.
masscanned ответов на пакеты ICMPv4 тогда и только тогда, когда:
ICMP входящего пакета — EchoRequest ( 8 ),ICMP код входящего пакета равен 0 . Если эти условия соблюдены, masscanned отвечает пакетом ICMP типа EchoReply ( 0 ), кодом 0 и той же полезной нагрузкой, что и входящий пакет, как указано в RFC 792.
masscanned ответов на пакеты ICMPv6 тогда и только тогда, когда:
ICMP — NeighborSol ( 135 ) и :masscanned не был указан IP-адрес (v4 или v6)masscanned В этом случае ответом является пакет Neighbor Advertisement ( 136 ) с masscanned MAC адреса.
или
ICMP — EchoRequest ( 128 ) В этом случае ответом является пакет EchoReply ( 129 ).
masscanned ответов на следующие TCP пакеты:
PSH и ACK , masscanned проверяет SYNACK-cookie и, если действительный, отвечает как минимум ACK или PSH-ACK если обнаружен поддерживаемый протокол (уровень 5/6/7),ACK , он игнорируется,RST или FIN-ACK , он игнорируется,SYN , то masscanned пытается имитировать поведение стандартного стека Linux, а именно:PSH , URG , CWR , ECE , то SYN игнорируется,CWR и ECE , то SYN игнорируется,masscanned ответов с помощью пакета SYN-ACK , устанавливая SYNACK-cookie в порядковый номер. masscanned отвечает на пакет UDP тогда и только тогда, когда протокол верхнего уровня обрабатывается и предоставляет ответ.
masscanned ответов на любой HTTP запрос (любой действительный глагол) с кодом 401 Authorization Required . Обратите внимание, что HTTP запросы с недопустимым глаголом не будут обработаны.
Пример:
$ curl -X GET 10.11.10.129
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.14.2</center>
</body>
</html>
$ curl -X OPTIONS 10.11.10.129
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.14.2</center>
</body>
</html>
$ curl -X HEAD 10.11.10.129
Warning: Setting custom HTTP method to HEAD with -X/--request may not work the
Warning: way you want. Consider using -I/--head instead.
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.14.2</center>
</body>
</html>
$ curl -X XXX 10.11.10.129
[timeout]
Пример:
$ stun 10.11.10.129
STUN client version 0.97
Primary: Open
Return value is 0x000001
masscanned ответов на SSH Client: Protocol со следующим Server: Protocol :
SSH-2.0-1rn
masscanned ответов на пакеты Negotiate Protocol Request , чтобы клиент мог отправить NTLMSSP_NEGOTIATE , на который masscanned отвечает запросом.
Пример:
##$ smbclient -U user \\10.11.10.129\shared
Enter WORKGROUPuser's password:
masscanned ответов на DNS запросы класса IN и типа A (пока). Ответ, который он предоставляет, всегда содержит IP-адрес, на который был отправлен запрос.
Пример:
$ host -t A masscan.ned 10.11.10.129
Using domain server:
Name: 10.11.10.129
Address: 10.11.10.129#53
Aliases:
masscan.ned has address 10.11.10.129
$ host -t A masscan.ned 10.11.10.130
Using domain server:
Name: 10.11.10.130
Address: 10.11.10.130#53
Aliases:
masscan.ned has address 10.11.10.130
$ host -t A masscan.ned 10.11.10.131
Using domain server:
Name: 10.11.10.131
Address: 10.11.10.131#53
Aliases:
masscan.ned has address 10.11.10.131
$ host -t A masscan.ned 10.11.10.132
Using domain server:
Name: 10.11.10.132
Address: 10.11.10.132#53
Aliases:
masscan.ned has address 10.11.10.132
$ cargo test
Compiling masscanned v0.2.0 (/zdata/workdir/masscanned)
Finished test [unoptimized + debuginfo] target(s) in 3.83s
Running unittests (target/debug/deps/masscanned-f9292f8600038978)
running 92 tests
test client::client_info::tests::test_client_info_eq ... ok
test layer_2::arp::tests::test_arp_reply ... ok
test layer_2::tests::test_eth_empty ... ok
test layer_2::tests::test_eth_reply ... ok
test layer_3::ipv4::tests::test_ipv4_reply ... ok
test layer_3::ipv4::tests::test_ipv4_empty ... ok
test layer_3::ipv6::tests::test_ipv6_empty ... ok
test layer_3::ipv6::tests::test_ipv6_reply ... ok
test layer_4::icmpv4::tests::test_icmpv4_reply ... ok
test layer_4::icmpv6::tests::test_icmpv6_reply ... ok
test layer_4::icmpv6::tests::test_nd_na_reply ... ok
test layer_4::tcp::tests::test_synack_cookie_ipv6 ... ok
test layer_4::tcp::tests::test_tcp_fin_ack_wrap ... ok
test proto::dns::cst::tests::class_parse ... ok
test layer_4::tcp::tests::test_tcp_fin_ack ... ok
test layer_4::tcp::tests::test_synack_cookie_ipv4 ... ok
test proto::dns::cst::tests::type_parse ... ok
test proto::dns::header::tests::parse_byte_by_byte ... ok
test proto::dns::header::tests::repl_id ... ok
test proto::dns::header::tests::repl_opcode ... ok
test proto::dns::header::tests::repl_ancount ... ok
test proto::dns::header::tests::repl_rd ... ok
test proto::dns::query::tests::parse_in_a_all ... ok
test proto::dns::header::tests::parse_all ... ok
test proto::dns::query::tests::repl ... ok
test proto::dns::query::tests::reply_in_a ... ok
test proto::dns::rr::tests::parse_all ... ok
test proto::dns::rr::tests::parse_byte_by_byte ... ok
test proto::dns::query::tests::parse_in_a_byte_by_byte ... ok
test proto::dns::tests::parse_qd_all ... ok
test proto::dns::tests::parse_qd_byte_by_byte ... ok
test proto::dns::rr::tests::build ... ok
test proto::dns::tests::parse_qd_rr_all ... ok
test proto::dns::tests::parse_qr_rr_byte_by_byte ... ok
test proto::dns::tests::parse_rr_byte_by_byte ... ok
test proto::dns::tests::parse_rr_all ... ok
test proto::dns::tests::reply_in_a ... ok
test proto::http::tests::test_http_request_line ... ok
test proto::http::tests::test_http_request_no_field ... ok
test proto::http::tests::test_http_request_field ... ok
test proto::http::tests::test_http_verb ... ok
test proto::rpc::tests::test_probe_nmap ... ok
test proto::rpc::tests::test_probe_nmap_split1 ... ok
test proto::rpc::tests::test_probe_portmap_v4_dump ... ok
test proto::rpc::tests::test_probe_nmap_split2 ... ok
test proto::rpc::tests::test_probe_nmap_udp ... ok
test proto::smb::tests::test_smb1_session_setup_request_parse ... ok
test proto::smb::tests::test_smb1_protocol_nego_parsing ... ok
test proto::smb::tests::test_smb1_protocol_nego_reply ... ok
test proto::smb::tests::test_smb1_session_setup_request_reply ... ok
test proto::smb::tests::test_smb2_protocol_nego_parsing ... ok
test proto::smb::tests::test_smb2_protocol_nego_reply ... ok
test proto::smb::tests::test_smb2_session_setup_request_reply ... ok
test proto::smb::tests::test_smb2_session_setup_request_parse ... ok
test proto::ssh::tests::ssh_1_banner_cr ... ok
test proto::ssh::tests::ssh_1_banner_crlf ... ok
test proto::ssh::tests::ssh_1_banner_lf ... ok
test proto::ssh::tests::ssh_1_banner_space ... ok
test proto::ssh::tests::ssh_2_banner_cr ... ok
test proto::ssh::tests::ssh_1_banner_parse ... ok
test proto::ssh::tests::ssh_2_banner_parse ... ok
test proto::ssh::tests::ssh_2_banner_lf ... ok
test proto::ssh::tests::ssh_2_banner_crlf ... ok
test proto::stun::tests::test_change_request_port_overflow ... ok
test proto::stun::tests::test_proto_stun_ipv4 ... ok
test proto::stun::tests::test_change_request_port ... ok
test proto::ssh::tests::ssh_2_banner_space ... ok
test proto::stun::tests::test_proto_stun_ipv6 ... ok
test proto::tcb::tests::test_proto_tcb_proto_state_http ... ok
test proto::tests::dispatch_dns ... ok
test proto::tcb::tests::test_proto_tcb_proto_state_rpc ... ok
test proto::tcb::tests::test_proto_tcb_proto_id ... ok
test proto::tests::test_proto_dispatch_http ... ok
test proto::tests::test_proto_dispatch_ssh ... ok
test proto::tests::test_proto_dispatch_ghost ... ok
test proto::tests::test_proto_dispatch_stun ... ok
test smack::smack::tests::test_anchor_end ... ok
test smack::smack::tests::test_multiple_matches_wildcard ... ok
test smack::smack::tests::test_multiple_matches ... ok
test smack::smack::tests::test_anchor_begin ... ok
test smack::smack::tests::test_http_banner ... ok
test synackcookie::tests::test_clientinfo ... ok
test synackcookie::tests::test_ip4 ... ok
test synackcookie::tests::test_ip4_dst ... ok
test synackcookie::tests::test_ip4_src ... ok
test synackcookie::tests::test_ip6 ... ok
test synackcookie::tests::test_key ... ok
test synackcookie::tests::test_tcp_dst ... ok
test synackcookie::tests::test_tcp_src ... ok
test smack::smack::tests::test_wildcard ... ok
test smack::smack::tests::test_proto ... ok
test smack::smack::tests::test_pattern ... ok
test result: ok. 92 passed; 0 failed; 0 ignored; 0 measured; 0 filtered out; finished in 0.41s
# ./test/test_masscanned.py
INFO test_arp_req......................................OK
INFO test_arp_req_other_ip.............................OK
INFO test_ipv4_udp_dns_in_a............................OK
INFO test_ipv4_udp_dns_in_a_multiple_queries...........OK
INFO test_ipv4_tcp_ghost...............................OK
INFO test_ipv4_tcp_http................................OK
INFO test_ipv4_tcp_http_segmented......................OK
INFO test_ipv4_tcp_http_incomplete.....................OK
INFO test_ipv6_tcp_http................................OK
INFO test_ipv4_udp_http................................OK
INFO test_ipv6_udp_http................................OK
INFO test_ipv4_tcp_http_ko.............................OK
INFO test_ipv4_udp_http_ko.............................OK
INFO test_ipv6_tcp_http_ko.............................OK
INFO test_ipv6_udp_http_ko.............................OK
INFO test_icmpv4_echo_req..............................OK
INFO test_icmpv6_neighbor_solicitation.................OK
INFO test_icmpv6_neighbor_solicitation_other_ip........OK
INFO test_icmpv6_echo_req..............................OK
INFO test_ipv4_req.....................................OK
INFO test_eth_req_other_mac............................OK
INFO test_ipv4_req_other_ip............................OK
INFO test_rpc_nmap.....................................OK
INFO test_rpcinfo......................................OK
INFO test_smb1_network_req.............................OK
INFO test_smb2_network_req.............................OK
INFO test_ipv4_tcp_ssh.................................OK
INFO test_ipv4_udp_ssh.................................OK
INFO test_ipv6_tcp_ssh.................................OK
INFO test_ipv6_udp_ssh.................................OK
INFO test_ipv4_udp_stun................................OK
INFO test_ipv6_udp_stun................................OK
INFO test_ipv4_udp_stun_change_port....................OK
INFO test_ipv6_udp_stun_change_port....................OK
INFO test_ipv4_tcp_empty...............................OK
INFO test_ipv6_tcp_empty...............................OK
INFO test_tcp_syn......................................OK
INFO test_ipv4_tcp_psh_ack.............................OK
INFO test_ipv6_tcp_psh_ack.............................OK
INFO test_ipv4_udp_empty...............................OK
INFO test_ipv6_udp_empty...............................OK
INFO Ran 41 tests with 0 errors
Вы также можете выбрать, какие тесты запускать, используя переменную среды TESTS
TESTS=smb ./test/test_masscanned.py
INFO test_smb1_network_req.............................OK
INFO test_smb2_network_req.............................OK
INFO Ran 2 tests with 0 errors
Глаголы :
initrecvsenddrop $ts arp $verb $operation $client_mac $client_ip $masscanned_mac $masscanned_ip
$ts eth $verb $ethertype $client_mac $masscanned_mac
