搭建散布式端口扫描系统
一、序言
自己在小公司里打酱油,但时刻关注着大公司的玩法,不谦卑的说俺是颇有上进心的。基于《几个linux端口扫描器》这个文章 ,往前走一步即是散布式的了。
二、为神马要端口扫描?
1、know it。假设咱不know,黑客就帮咱们know了,只是黑客会比咱们多走一步,那即是hack it。
2、ITIL的切入点之一。资产治理、变动治理。
三、目标和效果:
1、扫描TCP 1-65535端口
2、最多每天粗略的输入后果,无误报,无漏报。
3、形态跟踪。输入纵向悉数端口的变动,输入横向主机的端口变动。
4、识别端口所提供的操作。
此中1和2属于第一阶段目标,3属于第二阶段目标。咱们今日临时聚焦第一阶段目标。
四、场景
2W台待就事器
五、HOWTO
1、方式
synscan的sslog跑在几许台扫描机上,日记存在一个NFS共享目次便可,由于sslog的日记是递加写入的,不会掩盖过去的数据。synscan步骤见 http://www.91ri.org/2287.html
用shell mysql php对日记文件剖析,入库,输入报表。
2、本钱
上面的数据保守估计的,由于自己只是在5Mb的环境里测试过,现实上更多的带宽能前进扫描速度,同时一台往常的DELL R410彻底能够对10M的流量中止烦复的剖析。
单机:扫描100台要1个小时。那末扫描2W台要200小时,也即是8.3天。
4台机械:2天。
4台机械+带宽*8放大到40Mb:0.25天。
也即是说,4台机械,每台10M带宽,1/4天能够扫描2w台就事器的1-65535端口一次。一天跑满能够扫4次。能够按照自己的现实情况斡旋资本的投入或预期。
岁月本钱、带宽本钱和硬件本钱都是一个拥有2W台就事器的企业彻底能够接受的。
