Клеим маску

Новость   06 октября 2022, 18:15:14 6.170 0 + 0,07 / 6
Status Quo
 
russia
Подмосковье
64 года
Слушатель
Карма: +40.35
Регистрация: 07.08.2015
Сообщений: 2,681
Читатели: 6
Коротко повторю - зачем нужна маска при сканировании любого из диапазонов.
В диапазоне, как известно, 16.777.216 IP и чтобы его весь отсканировать на 2000 запросах, потребуется полтора-два часа на один порт. Но все ли IP в конкретном диапазоне заняты и работают? Нет, конечно.
Следовательно, надо как-то избавиться от пустых кусков диапазона и скармливать SOCKS-сканеру только те фрагменты диап-а, в которых мы реально можем что-то найти. После грамотно составленной маски 16-миллионный диапазон может съёжиться в несколько раз! В-среднем, в маске перспективного диап-а может находиться 6-8 мил. IP, что уже неплохо - время сканирования по одному порту сокращается в 2 - 2,5 раза. А есть ещё диапазоны, которые ужимаются до 1 - 2 млн. и меньше...

Возможно есть другие способы построения маски, я же расскажу здесь о том, как это делаю сам.
Итак, первое что нам понадобится - черновой скан исследуемого диапазона. Можно его сделать тем же СОКС-сканером, но целесообразнее для этой цели взять более простую утилиту: http-сканер. Прога тех же авторов, но хороша тем, что запросы подаёт только по одному http протоколу, а не по двум, как SOCKS-сканер (Socks-4 и SOCKS-5). По сему, кол-во запросов можно увеличить, что ощутимо сократит время чернового сканирования.
Для исследования возьмём, например, первый (азиатский) диапазон. Забиваем в установки:

80й порт выбрал, как самый популярный: практически у всех компов, находящихся в сети он открыт. Сканируем. По окончанию скана, ранжируем список по IP (тыкаем один раз в поле IP Address) листаем список, составляем в-ручную в блокноте винды. Пример:

Диапазон открывает рабочий IP с самого начала, ставим стартовый айпишник - 1.0.0.0
Листаем поле сканера до места, где есть разрыв, например здесь:

 Здесь явная дыра на 3 поддиапазоне да и 4 поддиапазон не сначала идёт. Ставим окончание первому куску маски и начало второму, выглядеть это будет так:
1.0.0.0 - 1.2.255.255
1.4.128.0 -
Можно начать непосредственно с первого же найденного IP: 1.4.140.0 но я предпочитаю делать отступы до стандартных значений, кратных *.32.0.0
И так до конца диапазона. Дело долгое и нудное, но без этого ни как.
В итоге мы получаем черновую маску:


В которой уже не 16млн IP, а 8,24 (на скрине ошибка, лень перезаливать) - уже хорошо. Но это не всё.
Необходимо черновик прогнать через SOCKS-сканер через стандартные порты, коих на сегодня я знаю 5 основных: 1080, 3629,4145, 4153 и 5678.
8240478 х 5 - прим. 50 млн IP, это сканер будет перелопачивать часов 6-7, придётся запастись терпением.
В итоге, после ранжировки  мы получим второй список, из которого так же надо выкинуть куски, в которых нет ни одного результата по 5 портам.
Получаем вот это:
# 6947404
1.0.128.0 - 1.0.255.255
1.1.128.0 - 1.1.255.255
1.2.128.0 - 1.2.255.255
1.4.128.0 - 1.4.255.255
1.6.0.0 - 1.6.159.255
1.7.128.0 - 1.7.192.255
1.9.32.0 - 1.9.255.255
1.10.128.0 - 1.10.255.255
1.11.64.0 - 1.15.255.255
1.20.128.90 - 1.20.255.255
1.22.160.90 - 1.22.192.255
1.24.127.0 - 1.25.223.255
1.26.96.0 - 1.26.159.255
1.27.224.0 - 1.27.255.255
1.28.192.0 - 1.28.223.255
1.29.128.0 - 1.29.159.255
1.30.0.0 - 1.32.255.255
1.34.0.0 - 1.34.255.255
1.36.0.0 - 1.36.255.255
#1.40.32.0 - 1.40.64.255
#1.41.192.0 - 1.41.224.255
#1.43.128.0 - 1.43.160.255
1.48.224.0 - 1.49.255.255
1.52.128.0 - 1.64.255.255
1.65.128.0 - 1.65.224.255
1.68.192.0 - 1.70.191.255
1.71.128.0 - 1.71.255.255
1.82.192.0 - 1.85.54.255
1.85.59.0 - 1.85.255.255
1.87.128.0 - 1.87.224.255
1.116.0.0 - 1.117.255.255
1.119.128.0 - 1.119.223.255
1.120.96.0 - 1.120.127.255
1.160.0.0 - 1.165.224.255
1.168.0.0 - 1.175.255.255
1.177.32.0 - 1.177.255.255
1.179.128.0 - 1.179.191.255
1.179.208.0 - 1.180.63.255
1.180.224.0 - 1.183.255.255
1.186.224.0 - 1.186.255.255
1.188.0.0 - 1.189.190.255
1.190.0.0 - 1.198.255.255
#1.201.128.0 - 1.201.255.255
1.203.128.0 - 1.203.223.255
1.204.128.0 - 1.205.255.255
1.207.128.0 - 1.207.255.255
1.209.96.0 - 1.209.255.255
1.212.96.0 - 1.212.128.255
1.214.128.0 - 1.215.255.255
#1.217.0.0 - 1.217.64.255
1.221.160.0 - 1.222.95.255
1.223.64.0 - 1.223.127.255
1.224.32.0 - 1.231.192.255
1.231.194.0 - 1.232.47.255
1.232.49.0 - 1.232.49.255
1.232.52.0 - 1.233.176.255
1.233.178.0 - 1.234.34.255
1.234.77.0 - 1.255.255.255
Поддиапазонов стало побольше, но кол-во IP снизилось до 6947404.
Всё, теперь у нас есть маска на 1 диапазон по 5 SOCKS-портам.
Хотя, пожалуй, это не совсем всё...
Есть ещё один способ составления маски по диапазону - статистический. Для этого необходимо собрать все рабочие или точно работавшие IP исследуемого диап-а по заданным портам. Чтобы собрать статистику по 1 диапазону, я просто пролистал всю ветку с марта и по сегодняшний день и скопировал все найденные за пол-года айпи, саранжировав их в блокнот. Получилось вот что:

1.0.132.249:4153
1.0.136.25:4145
1.0.136.178:4145
1.0.144.68:4145
1.0.145.48:4145
1.0.145.113:4145
1.0.153.247:4153
1.0.154.166:4145
1.0.154.228:4145
1.0.159.150:4145
1.0.160.138:4153
1.0.160.166:4145
1.0.160.214:4153
1.0.160.230:4145
1.0.160.238:4145
1.0.161.42:4145
1.0.161.116:4145
1.0.161.128:4145
1.0.162.204:4145
1.0.173.138:4145
1.0.208.198:4145
1.0.225.160:5678
1.0.229.232:4145
1.0.232.6:4145
1.0.233.71:4145
1.0.237.111:4145
1.0.238.238:4145
1.0.245.79:4145
1.0.246.192:4145
1.1.154.3:4145
1.2.128.59:4145
1.2.136.140:4145
1.2.139.252:5678
1.2.157.109:4145
1.2.187.6:4145
1.2.187.49:4145
1.2.187.199:4145
1.2.209.92:4145
1.2.210.246:4145
1.2.215.65:4145
1.2.242.94:3629
1.4.130.20:4145
1.4.148.2:4145
1.4.153.18:4145
1.4.167.126:4145
1.4.167.149:4145
1.4.173.227:4145
1.4.175.18:4145
1.4.176.218:4145
1.4.195.114:4145
1.4.198.9:4153
1.4.198.68:4153
1.4.198.19:4153
1.4.198.124:4153
1.4.198.189:4153
1.4.198.192:4145
1.4.202.128:4145
1.4.214.148:5678
1.4.217.29:4145
1.4.217.226:4145
1.4.245.78:4145
1.4.250.163:4145
1.4.251.223:4153
1.9.27.213:4153
1.9.150.120:5678
1.9.213.114:4153
1.10.133.134:4145
1.10.140.43:4145
1.10.169.141:4145
1.10.169.215:4145
1.10.224.116:4145
1.10.227.56:4145
1.20.95.95:5678
1.20.96.30:4153
1.20.96.164:4153
1.20.162.111:4145
1.20.163.81:4145
1.20.168.51:4145
1.20.169.88:4153
1.20.169.236:4145
1.20.181.225:4145
1.20.184.75:4153
1.20.207.225:4153
1.20.210.15:4145
1.20.220.79:4145
1.20.221.91:3629
1.20.221.100:3629
1.20.221.217:3629
1.20.227.66:4145
1.20.248.246:5678
1.32.57.85:5678
1.55.241.4:4145
1.120.134.30:5678
1.160.100.160:1080
1.165.109.110:3629
1.165.109.132:3629
1.165.112.107:3629
1.165.114.3:3629
1.165.121.246:3629
1.165.132.160:3629
1.165.184.36:3629
1.171.90.49:3629
1.171.96.124:3629
1.171.97.231:3629
1.171.100.94:3629
1.171.103.251:4145
1.171.105.172:3629
1.172.16.170:5678
1.172.28.78:5678
1.172.29.152:5678
1.172.30.103:5678
1.172.30.214:5678
1.172.99.37:4153
1.172.123.47:4153
1.172.127.211:4153
1.172.223.232:4145
1.173.129.182:4153
1.173.136.166:4153
1.173.223.158:4145
1.174.60.242:5678
1.174.81.47:4153
1.174.87.233:4153
1.174.88.165:4153
1.174.93.198:4153
1.175.71.156:4145
1.175.116.153:4145
1.179.130.201:4153
1.179.148.33:1080
1.179.173.114:4153
1.179.194.137:4153
1.186.85.74:5678
1.186.213.67:5678
1.212.157.114:4145
1.212.157.115:4145
1.220.145.45:4145
1.221.173.148:4145
Вопрос -  какому конкретно куску диап-а принадлежит каждый из найденных IP?
В этом поможет один сайтик, который при забивке в поисковое поля айпишника выдаёт кусок (куски) поддиапазона прова, котрому он принадлежит.
После пробивки всех IP по статистике, у меня получился ещё более короткая маска:
# 1573375
1.0.128.0 - 1.0.255.255
1.1.128.0 - 1.1.255.255
1.2.128.0 - 1.2.255.255
1.9.0.0 - 1.9.255.255
1.10.128.0 - 1.10.255.255
1.20.0.0 - 1.20.255.255
1.32.0.0 - 1.32.127.255
1.55.0.0 - 1.55.255.255
1.120.0.0 - 1.127.255.255
1.160.0.0 - 1.160.255.255
1.165.0.0 - 1.165.255.255
1.171.0.0 - 1.171.255.255
1.172.0.0 - 1.175.255.255
1.179.128.0 - 1.179.255.255
1.186.85.0 - 1.186.85.255
1.186.213.0 - 1.186.213.255
1.212.0.0 - 1.212.255.255
1.220.0.0 - 1.221.255.255
- чуть более полутора миллионов IP. После проверки SOCKS-чекер выдал результат:
1.0.162.148:4153
1.0.228.79:4145
1.0.237.111:4145
1.2.136.140:4145
1.2.209.92:4145
1.2.242.94:3629
1.9.150.120:5678
1.10.227.56:4145
1.20.95.95:5678
1.20.210.15:4145
1.20.221.91:3629
1.171.90.49:3629
1.171.97.231:3629
1.171.100.94:3629
1.172.30.84:5678
что вполне неплохо.
Второй вариант маски более быстр, конечно, но он со временем устареет и будет выдавать с каждым разом всё меньше IP, посему, первый способ сбора маски будем считать более надёжным. Но. Можно статистичесчкую маску поддерживать на плаву, отслеживая рабочие СОКСЫ по данному диап-у и нашим портам, добавляя новые куски - дело ваше. Я, как фанат этого дела именно так и поступаю...
Если есть вопросы - справшивайте, отвечу.
ЗЫ. Да седни свежего скана не будет - с этим намудохался...
Отредактировано: Status Quo - 07 октября 2022 08:03:44
"С точки зрения молодости жизнь есть бесконечно долгое будущее; с точки зрения старости — очень короткое прошлое." А. Шопенгауэр
  • +0.07 / 6
КОММЕНТАРИИ (0)
 
Комментарии не найдены!