85 lines
4.8 KiB
Markdown
85 lines
4.8 KiB
Markdown
|
# 33万IP 扫描现状与四业务对齐总结
|
|||
|
|
|
|||
|
|
> 更新:2026-02-15
|
|||
|
|
> 目的:扫描出**真正能登录**且与**分布式算力矩阵四业务**相关的主机,并优化扫描与下游衔接。
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
## 一、分布式算力矩阵「四业务」与所需端口
|
|||
|
|
|
|||
|
|
| 业务 | 模块 | 核心动作 | 扫描需提供的「可登录」能力 |
|
|||
|
|
|:---|:---|:---|:---|
|
|||
|
|
| 1. 发现目标 | 01_扫描模块 | 发现 IP + 开放端口 + 协议验证 | 所有可远程登录/管理的端口 |
|
|||
|
|
| 2. 获取凭证 | 04_暴力破解 | SSH/弱口令破解 | **SSH(22/2222)** 必选;RDP/Telnet 可选 |
|
|||
|
|
| 3. 存储与关联 | 02_账号密码管理 | 存凭证 + 关联用户链 | 需 IP、端口、来源、OS 等字段 |
|
|||
|
|
| 4. 部署节点 | 03_节点部署 | SSH/Docker 远程部署 PCDN/矿机 | **SSH + Linux** 最适配;RDP/宝塔为辅 |
|
|||
|
|
|
|||
|
|
**结论**:扫描要尽可能覆盖「能登录、能部署」的端口,并以 **SSH 验证通过** 为第一优先级,供 04 暴力破解 → 02 凭证 → 03 部署 使用。
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
## 二、当前扫描状态(v3.0 全量跑完后)
|
|||
|
|
|
|||
|
|
### 2.1 数量汇总
|
|||
|
|
|
|||
|
|
| 阶段 | 数量 | 占比 | 说明 |
|
|||
|
|
|:---|:---|:---|:---|
|
|||
|
|
| 扫描池(已扫描表文档数) | 339,607 | 100% | KR.分布式矩阵IP_已扫描 |
|
|||
|
|
| TCP 存活(本次 v3 扫到) | 435 | **0.13%** | 单次连接即时验证,约 74 分钟 |
|
|||
|
|
| 协议验证通过 | 36 | **0.011%**(占总量)/ **8.3%**(占存活) | 真实运行服务 |
|
|||
|
|
| 有价值主机(value_score≥30,非蜜罐) | 5 | **0.0015%**(占总量) | 可直接优先暴力破解/部署 |
|
|||
|
|
| 已验证表当前条数 | 36 | - | KR.分布式矩阵IP_已验证(v3 全量后重写) |
|
|||
|
|
|
|||
|
|
### 2.2 端口覆盖(当前 29 端口,含 WinRM/5000)
|
|||
|
|
|
|||
|
|
| 类别 | 端口 | 与四业务关系 |
|
|||
|
|
|:---|:---|:---|
|
|||
|
|
| **可登录(直接支撑 04/03)** | 22, 2222(SSH), 23(Telnet), 3389(RDP), 5900/5901(VNC), 5985(WinRM), 8888(宝塔), 10000(Webmin) | 暴力破解/部署入口 |
|
|||
|
|
| **Web 管理(间接:改密/面板)** | 80, 443, 8080, 8443, 8888, 9090(Cockpit), 5000, 10000 | 宝塔/Webmin/常见 Web 可作二次入口 |
|
|||
|
|
| **数据库(信息/弱口令)** | 3306, 5432, 6379, 27017, 9200, 1433 | 辅助资产价值评估 |
|
|||
|
|
| **文件/网络** | 21(FTP), 139, 445, 161, 1194, 8291, 8728, 4899 | 路由器/设备识别 |
|
|||
|
|
|
|||
|
|
### 2.3 已验证表 36 条与 04 暴力破解的衔接问题
|
|||
|
|
|
|||
|
|
- 04 暴力破解从 **KR.分布式矩阵IP_已扫描** 查目标,条件为:`ssh_open=True`、`rdp_open`、`vnc_open`、`telnet_open`、`baota_open`、`os_guess`、`deploy_score` 等。
|
|||
|
|
- 当前 v3 回写只写了 **v3_*** 前缀字段,**未写** 上述无前缀字段,导致 04 按「已扫描」查询时可能**拿不到** v3 扫出的 36 台。
|
|||
|
|
- **已做优化**:在 v3 回写「已扫描」时,对每条有结果的 IP 同时写入 `ssh_open`、`rdp_open`、`vnc_open`、`telnet_open`、`baota_open`、`os_guess`、`deploy_score`、`ssh_difficulty`,与 04 的 query 对齐。
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
## 三、全量优化项(本次执行)
|
|||
|
|
|
|||
|
|
1. **业务字段回写**:v3 回写 已扫描/已验证 时,补齐 04 暴力破解所需字段:`ssh_open`、`rdp_open`、`vnc_open`、`telnet_open`、`baota_open`、`os_guess`、`deploy_score`、`ssh_difficulty`。
|
|||
|
|
2. **端口**:由 27 扩展为 **29 端口**,新增 5985(WinRM)、5000(Web),覆盖四业务「可登录+Web+数据库」。
|
|||
|
|
3. **已扫描表反填**:已用 `patch_scan_for_brute.py` 将当前 36 条已验证结果反填到 已扫描 表,04 无需等下次全量即可查 SABC 目标。
|
|||
|
|
4. **价值与优先级**:已用 `value_score`、`v3_is_valuable`、`v3_verified` 标记;04 可按 `deploy_score`(=value_score)排序优先破解。
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
## 四、当前「可登录」资产一览(v3 全量后)
|
|||
|
|
|
|||
|
|
- **协议验证通过**:36 台(均可作为 04 目标,其中 SSH 验证通过的可直接 SSH 破解)。
|
|||
|
|
- **有价值 5 台**(优先建议):
|
|||
|
|
- 218.21.70.133(55 分)SSH:22
|
|||
|
|
- 117.90.95.20(50 分)SSH:22
|
|||
|
|
- 212.95.32.251(50 分)22/80/443
|
|||
|
|
- 58.216.216.42(45 分)SSH:22
|
|||
|
|
- 219.148.83.201(40 分)22/23/8443
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
## 五、下一步建议与百分比
|
|||
|
|
|
|||
|
|
| 步骤 | 内容 | 占比/说明 |
|
|||
|
|
|:---|:---|:---|
|
|||
|
|
| 已完成 | 33万全量 v3 扫描 + 业务字段回写优化 | 100% 扫描完成;回写已对齐 04 |
|
|||
|
|
| 下一步 1 | 运行 04 暴力破解:`mongo_smart_brute.py --level SABC --max-targets 36` | 用 36 台验证通过主机做 SSH 破解 |
|
|||
|
|
| 下一步 2 | 将破解成功主机导入 02 账号密码管理 → 03 节点部署 | 按现有流水线 |
|
|||
|
|
| 下一步 3 | 定期重扫「已扫描」表(或 --alive-only)刷新存活 | 动态 IP 多,需持续刷新 |
|
|||
|
|
|
|||
|
|
**关键百分比(记住)**:
|
|||
|
|
- 33.9万 → TCP 存活:**0.13%**(435)
|
|||
|
|
- TCP 存活 → 协议验证:**8.3%**(36)
|
|||
|
|
- 协议验证 → 有价值:**13.9%**(5)
|
|||
|
|
- **全量 → 可登录目标**:**0.011%**(36/339607)
|