网络安全扫描工具的比较与分析

网络安全扫描工具的比较与分析

作者：张星亮张洪波

来源：《电脑知识与技术》2018年第11期

摘要：作为网络安全维护人员，网络扫描是信息收集的重要手段，一般包括端口扫描和漏洞扫描。该文主要对当前流行的Nmap、Zmap、Masscan这三种网络扫描工具进行功能介绍。通过综合比较实验，针对不同类型的扫描工具进行了测试比较和分析。

关键词：网络安全；扫描；工具；Nmap；Zmap；Masscan

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）11-0056-02

Comparison and Analysis of Network Security Scanners

ZHANG Xing-liang，ZHANG Hong-bo

（32159 Troops of The PLA， Urumqi 830000， China）

Abstract：As a network security maintenance personnel， network scanning is an important means of information collection， usually including port scan and vulnerability scanning. This article mainly introduces the three popular network scanning tools， such as Nmap， Zmap and Masscan. Through the comprehensive comparison experiment， the test comparison and analysis are carried out for different types of scanners.

Key words：network security； scanners； Nmap； Zmap； Masscan

1 引言

作为网络安全维护人员，网络扫描是隐患排查的重要手段，通过扫描可以主动、及时发现web站点或服务器开放的危险端口、配置错误的服务、存在的安全漏洞等问题，辅助采取防护措施。而一说起扫描工具，Nmap以其强大而丰富的功能被绝大多数安全人员所熟知。除此以外，宣称“45分钟扫描互联网”的Zmap和“6分钟扫描互联网”的Masscan由于效率高、稳定性强也被广泛使用。

2 核心功能

2.1 Nmap

Nmap由Fyodor于1997年开始创建的端口扫描器，随后在全球众多的开源社区志愿者参与下，逐渐成为最为流行安全领域必备工具之一。Nmap功能非常强大，具有主机存活检测、

端口扫描、网络服务及版本辨识、操作系统检测、漏洞扫描分析五项核心功能。Nmap扫描模式支持TCP SYN 扫描、TCP connect扫描、UDP 扫描、No Ping扫描、TCP ACK扫描、TCP FIN扫描等十几种类型。相比较一般扫描器对端口分为开放或关闭两种类型，Nmap对端口的分析粒度更加细致，共分为开放、关闭、被过滤等六类状态。

2.2 Zmap

Zmap源自美国密歇根大学，它是一种“无状态”的工具（注意，不同于TCP SYN扫描），在传出的数据包中对识别信息进行哈希运算编码，不记录目标回执状态，对目标回送的SYN-ACK按照源IP地址、源端口号、ACK编码等关键字段校验。这样就避免存储连接状态的系统开销，同时将发包速率接近网络带宽极限。Zmap存在两个局限性：一个是扫描一次只能支持单端口，不支持端口范围性扫描；另一个是扫描模式不够丰富，仅仅支持TCP SYN、ICMP echo、UDP这三种基本模式。

2.3 Masscan

Masscan与Zmap类似，同样采用了无状态的扫描技术。为了提高处理速度，Masscan定制了TCP/IP栈，从而不影响本地其他TCP/IP的数据传输。理想带宽环境Linux平台下，其发包速度最快可以达到160万包/每秒。Masscan功能选项十分丰富，例如允许用户手工设置目标黑白名单以及扫描速率；配置经过路由器地址链路；手动设置目标网络地址范围和端口号（1-65535）；为了达到隐蔽伪装效果可以修改数据包的MAC地址、源端口。

3 速度和效率

安装部署Linux下Python运行环境，编写python脚本分别调用三种工具执行端口扫描命令。选取中国香港、中国台湾、美国、欧洲的几个高频使用IP地址段，每组实验过程中，针对相同IP段和80、21、22、23、443等20个常用网络端口，避免网络拥塞影响检测结果方差，比较相同运行环境、不同目标网络三种工具执行扫描完成数量和质量。

时间方面，Nmap扫描耗时明显高于Zmap和Masscan，有些IP地址段耗时并不稳定，这与其采用的等待扫描结果反馈机制有关。而Zmap和Masscan扫描耗时与到扫描目标数量成正比，对于多端口扫描，Masscan的优势就比较明显了，因为Zmap由于每次只能针对一个端口进行扫描，对于20个端口的情况需要在脚本中发起20次扫描，因此耗时远高于Masscan。排名结果Masscan>Zmap>Nmap。

结果数量方面，随着扫描目标网络的扩大，由一个C段逐步扩大到三个C段，Nmap发现的数量更多更准确，而Zmap和Masscan遗漏的越来越多，这也是可以理解的，毕竟既要保证扫描时间短又要扫描结果多而准确是不符合现实的。排名结果Nmap>Zmap>Masscan。

4 总结

分析大范围的、概略的目标网络态势考虑Zmap或Masscan，对于特定端口安全状况可以使用Zmap工具，如果不确定端口范围并且需要隐蔽扫描的情况下使用Masscan工具。根据初步扫描结果，缩小风险范围后使用功能更加全面可靠的Nmap继续详细扫描。

参考文献：

[1] 胡昌振.面向21世纪的网络安全与防护[M].北京希望电子出版社，1999.

[2] 武装.网络端口扫描及对策研究[J].电子技术应用，2004，30（3）.

[3] 尹春勇，孙汝霞.网络安全扫描工具的分析与设计[J].滨州师专学报，2003（4）.