前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Scannerl:模块化分布式指纹识别引擎工具

Scannerl:模块化分布式指纹识别引擎工具

作者头像
FB客服
发布2018-12-28 11:02:10
5690
发布2018-12-28 11:02:10
举报
文章被收录于专栏:FreeBuf

Scannerl是由Kudelski Securit开发的模块化分布式指纹识别引擎,它可以在单个主机上识别数以千计的目标指纹,也可以在多个主机上分布执行分布式的指纹识别。Scannerl会识别zmap到端口扫描的指纹内容。当前的Scannerl版本适用于Debian/Ubuntu/Arch(包括其他的一些发行版本),使用主/从(master/slave)架构,主节点会将工作(主机指纹)分配给其从节点(本地或远程),且整个部署对用户都是透明的。

Scannerl 的优势

传统的指纹识别工具在进行大规模分析时,安全研究人员通常会遇到两个限制:首先,这些工具通常都是为一次扫描相对较少的主机而构建的,且不适用于大范围的IP地址。其次,如果对IPS设备保护的大范围IP地址进行指纹识别,则很有可能被列入黑名单导致信息集的不完整和缺失。Scannerl则可以很好的解决这些限制,你不仅可以在单个主机执行指纹识别任务,还可以将任务分布式到多个主机执行。Scannerl还使这些任务的分发完全透明,这使得大型指纹项目的设置和维护更加容易,让安全研究人员有更多的时间专注于分析,而无需手工操作重复繁杂的工作。此外,scannerl还允许你通过几行代码轻松设置特定的指纹分析。创建指纹识别群集不仅易于设置,而且还可以通过在指纹识别活动中添加fine-tuned扫描来进行调整。可以说scannerl是执行大规模指纹识别任务速度最快的工具。

安装

不同安装选项请参阅wiki安装页面。

要从源码安装,首先请确保你已安装Erlang(且版本不低于v.18)以及选择对应于你平台的安装包:Erlang downloads

安装所需的包:

代码语言:javascript
复制
# on debian
$ sudo apt install erlang erlang-src rebar

# on arch
$ sudo pacman -S erlang-nox rebar

然后构建scannerl:

代码语言:javascript
复制
$ git clone https://github.com/kudelskisecurity/scannerl.git
$ cd scannerl
$ ./build.sh

查看帮助选项:

代码语言:javascript
复制
$ ./scannerl -h

对于arch linux用户可在aur中获取scannerl。

代码语言:javascript
复制
scannerlscannerl-git

DEB(Ubuntu,Debian)可在发行版中找到。

RPM(Opensuse,Centos,Redhat)可在https://build.opensuse.org/package/show/home:chapeaurouge/scannerl下找到。

分布式设置

执行分布式扫描需要两种类型的节点:

主节点:scannerl二进制文件运行的地方 从节点:scannerl将连接以分发其所有工作的位置

主节点需要安装和编译scannerl,而从节点只需安装Erlang。整个设置是透明的,由主节点自动完成。

分布式扫描的要求

所有主机都需要安装相同版本的Erlang 所有主机都可以使用SSH公钥相互连接 所有主机的名称解析(如未设置正确的DNS,请使用/etc/hosts) 所有主机都具有相同的Erlang security cookie 所有主机必须允许连接到Erlang EPMD端口(TCP/4369) 所有主机都打开了以下端口范围:TCP/11100到TCP/11100+从节点数

使用

单独使用

Scannerl可以在本地主机上单独使用。但它仍将在运行它的同一主机上创建一个从节点。因此,你同样需要满足上述分布式设置要求。

一个快速的方法是确保你的主机能够自我解析,命令如下:

代码语言:javascript
复制
grep -q "127.0.1.1\s*`hostname`" /etc/hosts || echo "127.0.1.1 `hostname`" | sudo tee -a /etc/hosts

并创建一个SSH key将其添加到authorized_keys:

代码语言:javascript
复制
cat $HOME/.ssh/id_rsa.pub >> $HOME/.ssh/authorized_keys

以下示例从本地主机运行了一个针对google.com的HTTP banner抓取。

代码语言:javascript
复制
./scannerl -m httpbg -d google.com

分布式使用

执行分布式扫描之前,需要预先设置scannerl将使用的主机以分发工作。有关更多信息,请参阅分布式设置部分。

Scannerl需要使用的从节点列表可以通过-s-S选项添加。

代码语言:javascript
复制
./scannerl -m httpbg -d google.com -s host1,host2,host3

列出可用模块

使用-l选项列出可用模块:

模块参数

可以使用冒号向模块提供参数。例如,文件输出模块:

代码语言:javascript
复制
./scannerl -m httpbg -d google.com -o file:/tmp/result

结果格式

scannerl返回到输出模块的结果将以以下形式显示:

代码语言:javascript
复制
{module, target, port, result}

module:使用的模块(Erlang atom) target:IP或主机名(字符串或IPv4地址) port:端口(整数) result:见下文

结果部分的形式为:

代码语言:javascript
复制
{{status, type},Value}

其中{status, type}是以下元组之一:

{ok,result}:指纹识别目标成功

{error,up}:指纹识别未成功,但目标有响应

{error,unknown}:指纹识别失败

Value为返回值 - atom原子或元素列表

Scannerl 扩展

Scannerl的设计和实现考虑了模块化,因此向它添加新模块相当的容易:

Fingerprinting module:查询特定协议或服务。例如,fp_httpbg.erl模块允许检索HTTP响应中的服务器条目。 Output module:输出到特定数据库/文件系统或以特定格式输出结果。例如,out_file.erl和out_stdout.erl模块分别允许输出到文件或stdout。

创建新模块,可以参照fp_module.erl和out_behavior.erl源文件形式。

新模块既可以在编译时添加,也可以作为外部文件动态添加。

*参考来源:kitploit,FB小编secist编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-12-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • Scannerl 的优势
  • 安装
    • 分布式设置
      • 分布式扫描的要求
      • 使用
        • 单独使用
          • 分布式使用
            • 列出可用模块
              • 模块参数
                • 结果格式
                • Scannerl 扩展
                领券
                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档