【Masscan】互联网范围扫描SSDP主机

从https://www.ddosi.com/b103/这个博客得知Masscan是可以扫描UDP端口的，于是用以下命令扫描某/8网段开放了SSDP服务的主机：

bin/masscan *.0.0.0/8 -pU:1900 --rate 100000 -oX masscan.xml

扫描信息如下：

扫描结果

这张图显示了扫描的时候使用了SYN Stealth Scan，我觉得很奇怪，扫描UDP端口为什么还要用SYN，于是用tcpdump抓包分析了一下这些扫描包，如下图所示，都是SSDP的扫描包，不存在SYN包。我也不清楚扫描软件为什么会显示这个信息。

随机扫描

我查看了这些扫描包，如下图所示，是SSDP协议的M-SEARCH请求包，这说明Masscan对不同UDP端口会针对性地使用该端口协议的探测包，这一点应该和Nmap类似。这个USER-AGENT字段直接显示这是masscan的扫描包，所以在被动流量很容易判断masscan的扫描包。

Masscan SSDP扫描包

接下来我查看了扫描的结果，发现有很多重复结果。如下图所示，同一个IP出现了10次。

存在重复结果

于是我又查看了扫描数据包，发现是SSDP回复了10个数据包，masscan又是一个无状态异步的扫描器，所以就记录了10次。

存在重复结果的原因

这里有一个小灵感，统计结果中的各IP出现的次数，出现次数多说明回复包比较多，因此这个IP可以作为SSDP反射放大器，以此类推，NTP反射放大器也可以通过这种方式统计到。