Masscan
Fare uno scan della propria rete non è (solo) un compito da pentester o da hacker in hoodie. È una buona pratica da sysadmin, una di quelle attività da inserire nella routine periodica di chiunque abbia la responsabilità di un’infrastruttura, fosse anche solo la rete di casa o del proprio laboratorio.
Tra gli strumenti più veloci e affidabili c’è Masscan, spesso definito il “figlio iperattivo di Nmap”. È scritto in C, è open source, ed è in grado di scansionare l’intero Internet pubblico in pochi minuti. Ovviamente bisogna usarlo con criterio (e con consapevolezza di ciò che si sta facendo), ma se configurato bene può diventare un alleato potente per conoscere meglio il proprio ambiente.
Perché fare uno scan della rete?
Spesso si dà per scontato che “la rete funziona”, ma cosa succede davvero dentro la nostra LAN? Quali dispositivi sono attivi? Quali porte espongono servizi aperti?
Uno scan di rete ci permette di:
- fare l’inventario dei dispositivi attivi, utile anche per rilevare intrusioni o dispositivi “fantasma”;
- verificare l’esposizione di servizi sensibili, magari lasciati aperti per errore su una porta non standard;
- capire il comportamento della rete in determinati momenti della giornata o dopo modifiche a firewall/router.
E, ultimo ma non meno importante: sapere è potere. Specialmente quando si tratta della tua infrastruttura.
Masscan: velocità estrema (ma occhio!)
Masscan non è un sostituto completo di Nmap: fa una cosa sola (scansiona porte TCP) ma la fa benissimo e in modo molto veloce. A differenza di Nmap, però, non fa banner grabbing, non riconosce OS o servizi — è pensato per la velocità e per grandi numeri.
Attenzione però: la velocità ha un prezzo. Se lo usi in modo troppo aggressivo, potresti intasare la tua rete, far scattare IDS/IPS, o peggio, attirare attenzioni indesiderate se lanci scan su reti che non ti appartengono.
Mani in pasta
Installare Masscan è semplice, specialmente su sistemi basati su Debian:
# apt install masscan
Oppure su Arch-based:
# pacman -S masscan
Un esempio di base per scansionare una sottorete alla ricerca di dispositivi che hanno la porta 22 (SSH) aperta:
# masscan 192.168.1.0/24 -p22 --rate=100
Vediamo cosa stiamo dicendo a Masscan:
- 192.168.1.0/24 → la subnet da scansionare
- -p22 → porta da cercare (SSH)
- –rate=100 → massimo 100 pacchetti al secondo (fondamentale per non saturare la rete)
Se vogliamo scansionare più porte:
# masscan 192.168.1.0/24 -p22,80,443 --rate=200
Vuoi esportare i risultati in un file?
# masscan 192.168.1.0/24 -p80 -oX risultati.xml
Il formato -oX produce un file XML compatibile con strumenti di parsing o visualizzazione come Nmap o xsltproc.
Piccolo trucco da sysadmin
Se vuoi fare uno scan ricorrente della tua rete e confrontare i risultati nel tempo, puoi usare cron e un semplice diff:
# masscan 192.168.1.0/24 -p22 -oX /tmp/masscan_today.xml
diff /tmp/masscan_today.xml /var/log/masscan_last.xml
mv /tmp/masscan_today.xml /var/log/masscan_last.xml
Conclusioni
Conoscere la propria rete è il primo passo per proteggerla, e Masscan è uno strumento prezioso per farlo in modo rapido ed efficiente. Non sostituisce strumenti più completi come Nmap, ma può essere usato in sinergia per creare flussi di controllo intelligenti e automatizzati.
Come sempre: potere e responsabilità vanno a braccetto. Usa Masscan solo su reti di tua proprietà o dove hai esplicita autorizzazione. E ricorda: non è solo questione di sicurezza, ma anche di buona amministrazione.
Le opinioni in quanto tali sono opinabili e nulla ti vieta di approfondire l’argomento.
Risorse: