安全预算不足？用Masscan、Nmap与ELK让甲方的内网资产收集不再难！

科技 2024-06-26 08:08 上海

在当今企业数字化转型的浪潮中，信息安全部门承担着日益增长的资产保护责任。为应对这一挑战，本文介绍一种高效的内网资产收集方法，尤其适合那些缺乏足够安全预算购买商业安全工具的组织或企业。通过开源工具的利用，即使是拥有有限技术资源的团队也能实现对内网资产的全面测绘和管理。

工具部署：

首先，需要部署以下工具：

Masscan：一个快速的网络扫描工具，用于识别网络中活跃的主机。
Nmap：一个深入的网络分析工具，用于识别服务、版本信息以及潜在的漏洞。
ELK Stack：一个强大的日志分析和可视化平台，用于数据的存储和展示。

部署步骤如下：

安装Masscan及其依赖项，确保环境支持高效的网络扫描。

yum install git gcc make libpcap-devel
git clone https://github.com/robertdavidgraham/masscan
cd masscan
make
cp bin/masscan  /bin

安装最新版本的Nmap，获取最准确的扫描结果。

wget https://nmap.org/dist/nmap-7.95-2.x86_64.rpm
#释然IT杂谈
rpm -ivh nmap-7.95-2.x86_64.rpm

通过Docker快速启动Elasticsearch和Kibana服务，为数据管理和可视化提供支持。

docker run -d --name es -p 127.0.0.1:9201:9200 -p 9300:9300 -e ES_JAVA_OPTS="-Xms2G -Xmx2G" -e "discovery.type=single-node"  docker.elastic.co/elasticsearch/elasticsearch-oss:7.1.1   

docker run --name kibana -d -p 5601:5601 -e ELASTICSEARCH_HOSTS=http://127.0.0.1:9201   docker.elastic.co/kibana/kibana-oss:7.1.1

资产收集与分析流程：

资产收集的流程分为三个关键步骤：

主机发现：使用Masscan对指定网络范围进行扫描，快速识别存活的主机。
详细扫描：对发现的存活主机使用Nmap进行详细扫描，并将结果以XML格式导出。
数据整合与可视化：将XML数据转换为JSON格式，导入到Elasticsearch中，并通过Kibana实现数据的可视化展示。

自动化实现：

为提高效率，自动化脚本是关键：

利用多线程技术并行执行Masscan和Nmap扫描。
开发自定义函数将扫描结果从XML转换为JSON格式。
将转换后的数据索引到Elasticsearch中，并使用Kibana进行数据的实时监控和分析。(释然IT杂谈）

from elasticsearch import Elasticsearch
from settings import es_ip, es_port, ip_list
from utils import Logger
import xmltodict
import os
import threading
import time
import json

logger = Logger.get_logger(__name__, path=os.getcwd())
es = Elasticsearch([{'host': es_ip, 'port': es_port}])


def xml_to_json(path):
    try:
        with open(path, 'r') as load_f:
            temp_ = xmltodict.parse(load_f).get("nmaprun")
            return {key: temp_[key]
                    for key in temp_
                    if key not in ["verbose", 'scaninfo', 'taskbegin', 'taskend', "debugging"]}

    except Exception as e:
        logger.error(str(e)+path)
        return {}


def json_to_es(index, json_):
    try:
        es.index(index=index, doc_type="vuln", body=json_)
    except Exception as e:
        try:
            es.index(index=index + '_', doc_type="vuln", body=json.dumps(json_))
        except Exception as e:
            try:
                es.index(index=index + '__', doc_type="vuln", body=json.dumps(json_))
            except Exception as e:
                logger.error(str(e))
                pass


def masscan_scan(ip):
    try:
        if ip:
            if not os.path.exists('tmp'):
                os.makedirs('tmp')
            os.system('masscan --ping {0} --rate 1000 -oL tmp/{1}.txt'.format(ip, ip.split('/')[0]))
    except Exception as e:
        logger.error(str(e))


def nmap_scan(ip):
    try:
        if ip:
            if not os.path.exists('report'):
                os.makedirs('report')
            os.system('nmap -sV -Pn -A -T5 --script=nmap-vulners/vulners.nse -oX report/{0}.xml {1}'.format(ip, ip))
    except Exception as e:
        logger.error(str(e))


def masscan_scan_worker():
#释然IT杂谈
    t_obj = []
    for i in range(len(ip_list)):
        t = threading.Thread(target=masscan_scan, args=(ip_list[i],))
        t_obj.append(t)
        t.start()
    for t in t_obj:
        t.join()
    if not os.path.exists('alive_host'):
        os.makedirs('alive_host')
    cmd = """ awk '{print $4}' tmp/*.txt | tr -s '\n' > alive_host/host.txt """
    os.system(cmd)
    os.system("""rm -f tmp/*.txt""")


def read_txt(path):
    lines = []
    try:
        with open(path, 'r') as file_to_read:
            while True:
                line = file_to_read.readline()
                if not line:
                    break
                line = line.strip('\n')
                lines.append(line)
    except Exception as e:
        logger.error(str(e))
    return lines


def nmap_scan_worker():
    lst = read_txt('alive_host/host.txt')
    tmp_ = [lst[i:i+5] for i in range(0, len(lst), 5)]
    print tmp_
    if tmp_:
        for list_ in tmp_:
            t_obj = []
            for i in range(len(list_)):
                t = threading.Thread(target=nmap_scan, args=(list_[i],))
                t_obj.append(t)
                t.start()
            for t in t_obj:
                t.join()


def nmap_to_es(index):
        if os.path.exists('report'):
            files = os.listdir('report')
        for file in files:
                json_to_es(index, xml_to_json('report'+'/'+file))
        os.system("""rm -f report/*.xml""")


if __name__ == '__main__':

    while True:
        now = time.strftime('%Y-%m-%d')
        masscan_scan_worker()
        nmap_scan_worker()
        es.indices.delete('nmap-*')
        nmap_to_es('nmap-' + now)

完整代码：

https://github.com/njcx/nmap_to_es.git

结果展示：

最终，通过Kibana Dashboard，用户可以直观地查看内网资产的状态，包括但不限于开放端口、运行的服务及其版本信息，以及可能存在的安全漏洞。

本文提供的内网资产收集方法，不仅成本低廉，而且易于操作和实现。希望这些经验能够为信息安全从业者提供实用的参考，帮助他们更好地理解和保护企业的关键资产。

文章声明

本文素材整理自网络公开领域，版权归原作者所有，由释然IT杂谈排版成文，转载请注明出处，侵删。

http://mp.weixin.qq.com/s?__biz=MzIxMTEyOTM2Ng==&mid=2247503286&idx=1&sn=59c2d5534ef3b790ed3285527c2ec434

释然IT杂谈

本公众号专注于分享网络工程（思科、华为），系统运维（Linux）、以及安全等方面学习资源，以及相关技术文章、学习视频和学习书籍等。期待您的加入~~~关注回复“724”可领取免费学习资料（含有书籍）。

最新文章

速来白嫖！网安届40+视频课大放送，提升你的安全技能！"

【Tools】黑客渗透超级管理终端Evil-winrm

【Tools】自动解密被加密的报文工具 - Galaxy

漏洞扫描工具 -- SBScan

一款开源、轻量级的网站防火墙SamWaf，完全私有化部署，多端支持！

国内不限次数使用，双系统官方 ChatGPT和 Claude Pro

【Tools】高效渗透测试工具——密探（mitan）

打造坚不可摧的CentOS服务器：全面安全配置指南

【Tools】黑客工具箱必备无线网络自动化攻击利器——Wifite（无线破解工具）

满足等保的Windows系统和Linux系统安全加固脚本

【Tools】一个专门为CTF设计开箱即用的操作系统CTF-OS

彻底封锁Windows五大高危端口（135、136、137、139、445），满足等保合规！

【Tools】Goby-红队版，让信息收集不再困难！

告别付费束缚，拥抱Stirling-PDF：本地部署的PDF编辑利器，最强开源PDF工具箱！

无敌了！强烈建议网工运维今年拿下软考！

Reqable 新一代网络抓包和API测试工具支持Windows、Mac、Linux、Android和iOS五大平台

IT精英必备软件，一个软件搞定远程SSH、RDP，运维效率提升200%！

打造个人专属的免签支付系统—— iPayment系统（支持微信/支付宝/钉钉/云闪付/银行app）

Windows神器：告别IP限制，IP自动切换软件（附源码）

5年风雨，感谢有你相伴；未来旅程，期待与你继续携手前行！

华为内网“疯传”最新版1980页Linux笔记第四版，讲得太详细了！

开源恶意流量监测系统：Maltrail

护网紧急情况应对指南：Linux 应急响应手册

护网紧急情况应对指南：Windows版v1.2全新升级版

【实用技巧】大幅降低服务器攻击流量风险：一键禁止ping操作

探索Uptime Kuma：一款全能的免费监控工具，Cloudflare穿透功能加持！

如何用AI工具修复老照片

《Linux核心笔记》——运维人员的宝典，不容错过！

安全预算不足？用Masscan、Nmap与ELK让甲方的内网资产收集不再难！

哇噻，Zabbix7.0 LTS！功能又进化了！

史上最强！华为交换机常用命令大全，网络工程师收藏！

【Tools】一款开源&跨平台一键生成SSL证书工具CertD

【Tools】PC网卡MAC+电脑名称修改工具（文末福利）

终极Linux秘籍：这份资料带你快速成长！

大模型私有化部署VS云上调用：哪种性价比更高

【案例】漏洞挖掘|记一次对某杀猪盘的漏洞挖掘(反诈)

拒绝先涨后降套路，网安618开启，推荐即有好礼相赠~

NetBox4.0安装指南：网络工程师的终极解决方案，抛弃复杂管理，全面汉化版让网络维护变得简单！！

网工必备交换机配置自动采集工具 SecureCRT+vbs脚本，支持telnet及SSH

牛！华为《Linux 面试笔记大全》太赞了，完整版PDF 开放下载！

Linux 安全与运维指南

落伍警告：不了解AI Agent，你可能会被编程界淘汰

【案例】揭露在某鱼某红书卖jd卡被骗后的追溯之道

Linux面试屡屡碰壁？这份华为工程师的笔记可能是你的救星！

【Tools】局域网IP扫描&一键更换本机IP小工具

月之暗面Kimi接入微信，背后隐藏的智能对话革命，你准备好了吗？

开源、离线、免费商用的大模型知识库来袭！快速搭建个人和企业私有智能知识库！

信息支援部队成立，CISP攻防人才需求攀升！

【Tools】6款神器无网也能战！病毒离线扫描器，保护电脑免受病毒侵袭！

太赞了，华为工程师“新”总结的1890页《Linux学习笔记》，一键获取

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉