如何探测网络设备ACL规则
探测网络设备ACL规则
背景:在互联网企业的生产网络中,往往在网络入口处的网络设备上会有成千上万条ACL策略,这么多的ACL导致了网络管理员很难彻底梳理清楚其中的逻辑关系,从而不知道到底对外开放了哪些IP和哪些端口。
解决手段:编写ACL规则探测程序,从公网扫描该网络设备的ACL规则
工作原理:不管是交换机还是路由器或防火墙,在处理数据包时ACL规则总是优先于ICMP规则。即:当网络设备收到一个TTL为0的报文时会先匹配ACL规则之后再向发送者发送 ICMP time exceeded消息,基于此原理就可以在公网发送以IDC内地址为目的IP且TTL到被探测设备时刚好减为0的数据包,如果被探测设备返回了ICMP time exceeded消息则说明它的ACL策略针对此IP及port开放,如果没有返回包则说明数据包被它的ACL阻拦
图示:
程序实现语言:python3
源码:
1 # coding:utf-8
2
3 from itertools import groupby
4 from scapy.all import *
5 import re
6 import sys
7 import IPy
8
9
10 class RangeException(Exception):
11 pass
12
13
14 class InputType(Exception):
15 pass
16
17
18 class TargetNotSupport(Exception):
19 pass
20
21
22 class OptionError(Exception):
23 pass
24
25
26 class PortScan(object):
27 def __init__(self, speed=3):
28 self.open_port = []
29 self.speed = speed
30
31 def __str__(self):
32 speed_statement = '使用PortScan(*)创建对象时可以在*处指定扫描速率,默认为3,数值越小扫描速度越快\n' \
33 '注意:随着扫描速度的增加准确率会相应降低!'
34 return speed_statement
35
36 # 从本地文件读取IP资源
37 def __target(self):
38 try:
39 open_file = input('请输入要导入资源的文件名字:')
40 address_file = open(open_file, 'r')
41 address_list = []
42 for i in address_file.readlines():
43 i = i.replace('\n', '')
44 address_list.append(i)
45 except FileNotFoundError:
46 print('\n')
47 print('请先在本地创建对应名字的IP列表文本文件!!!')
48 print('\n')
49 self.scan()
50
51 except KeyboardInterrupt:
52 print('')
53 sys.exit()
54
55 except Exception as error:
56 print('打开本地文件有误!!!')
57 print(error)
58 self.scan()
59 else:
60 return address_list
61
62 # 获取IP资源
63 # 输入1从一个文件读取IP,输入2从屏幕输入获取IP
64 # 获取的IP信息可以是单个IP地址(例:220.12.12.12),也可以是一个地址段(例:192.168.1.0/24)
65 # 最终返回一个IP地址列表,此列表包含了输入的所有单个IP地址以及地址段中的可用IP
66 def get_ip(self, option, string):
67
68 address_store = [] # IP资源存储
69
70 # 如果选1则从文件读取IP资源
71 if option == 1:
72 # 得到打开IP表文件名字及其IP表
73 address_list = self.__target()
74
75 # 如果选2则手动输入IP资源
76 if option == 2:
77 # 接收IP数据
78 address_list = input(string) # 1.1.1.1,2.2.2.0/24
79 address_list = address_list.split(',')
80
81 # 1.1.1.1/24 的正则
82 ip_range_re = r'( *(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.' \
83 r'(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.' \
84 r'(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.' \
85 r'(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d))/' \
86 r'(3[012]|[12][0-9]|[1-9]) *'
87 # 1.1.1.1,2.2.2.2,3.3.3.3 的正则
88 ip_address_re = r'( *(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.' \
89 r'(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.' \
90 r'(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.' \
91 r'(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d))'
92
93 # 对输入的值进行便利,提取其中的IP地址
94 for i in address_list:
95 range_re_result = re.match(ip_range_re, i) # 1.1.1.1/24的正则匹配结果
96 ip_re_result = re.match(ip_address_re, i) # 1.1.1.1,2.2.2.2,3.3.3.3 的正则匹配结果
97 if range_re_result:
98 subnet_mask = range_re_result.group(6)
99 network_number = re.sub(r'^0+', '', range_re_result.group(1))
100 address_string = network_number + '/' + subnet_mask # 如果输入1.1.1.1/24类型则address_store为字符串
101 try:
102 # 提取网段内所有可用IP地址并加表
103 address_subset = IPy.IP(address_string)
104 for i in address_subset:
105 if i == address_subset[len(address_subset)-1] or i == address_subset[0]:
106 continue
107 else:
108 address_store.append(str(i))
109 except ValueError:
110 print('输入有误,请按"网络号/掩码"或"IP地址"格式输入')
111 self.scan()
112
113 elif ip_re_result:
114 ii = re.sub(r'^0+', '', ip_re_result.group())
115 address_store.append(ii) #对单个IP地址形式的输入直接加表
116 else:
117 print('输入有误,请输入正确的IP地址(e.g:1.1.1.1,192.168.1.0/24)!!!')
118 self.get_ip(option)
119 return address_store
120
121 # 通过从屏幕输入获取端口资源
122 # 输入形式可以为单个端口号(例:3389),也可以是一个端口范围(例:22-25)
123 # 返回数据为一个列表,其中每个元素都以元组形式存在. 每个元组包含两个整数元素,第一个为端口范围的最小值,第二个为端口范围的最大值
124 # 注意: 单个端口号形式的输入最后也将以范围形式输出,其最大值与最小值都为他本身
125 # 返回数据举例: [(22-25),(3389,3389)]
126 def get_port(self):
127 port_range = input('请输入要扫描端口范围(e.g: 3389,20-25):')
128 target_port = [] # 端口资源存储
129 try:
130 port_range = port_range.split(',') # 例:['1', '2', '3-10', '11-20']
131 for i in port_range:
132 if re.match(' *(\d+)-(\d+).*', i):
133 # for ii in range(len(open_port_list)):
134 low_port = int(re.match(' *(\d+)-(\d+).*', i).group(1))
135 high_port = int(re.match(' *(\d+)-(\d+).*', i).group(2))
136 if low_port >= high_port or low_port <= 0 or low_port > 65535 or high_port <= 0 or high_port > 65535:
137 raise RangeException
138 else:
139 target_port.append((low_port, high_port)) # 如果是范围则把最小值和最大值以元组形式加表
140 elif re.match(' *\d+ *', i):
141 singular = int(re.match(' *(\d+) *', i).group(1))
142 if 0 < singular <= 65535:
143 target_port.append((singular, singular)) # 如果是单整数则把它当作范围一样处理,最大值和最小值均为它自己
144 else:
145 raise RangeException
146 else:
147 raise InputType
148 except RangeException:
149 print('端口应为1-65535之间的整数,且输入范围格式应当为从小到大')
150 self.get_port()
151 except InputType:
152 print('端口类型应为整数')
153 self.get_port()
154 except KeyboardInterrupt:
155 print('')
156 sys.exit()
157 except Exception as unusual:
158 print('输入有误!')
159 print(unusual)
160 self.get_port()
161 return target_port # 返回经过处理的目标端口列表
162
163 # 对纯数字的列表进行排序且范围切块
164 # 例:导入[11,22,33,1,2,3,4,5]----->导出[1-5,11,22,33]
165 @staticmethod
166 def int_single_to_range(original):
167 original.sort() # 先排序
168 open_port_range = []
169 fun = lambda x: x[1] - x[0]
170 for k, g in groupby(enumerate(original), fun):
171 l1 = [j for i, j in g] # 连续数字的列表
172 if len(l1) > 1:
173 scop = str(min(l1)) + '-' + str(max(l1)) # 将连续数字范围用"-"连接
174 else:
175 scop = l1[0]
176 open_port_range.append("{}".format(scop))
177 return open_port_range
178
179 # TTL自动检测
180 # 导入一个被探测设备IP列表,返回一个被探测设备IP与相应TTL的字典,例:{'220.2.2.2':15}
181 def ttl_check(self, address_list):
182 print('准备中...')
183 probe_device_ttl = {}
184 # switch = 0 # 检测返回数据包的源IP是否为被探测设备
185 try:
186 for i in address_list:
187 for ii in range(1, 129):
188 print(i, ii)
189 scan_packet = IP(dst=i, ttl=ii) / TCP(dport=8080, flags='S')
190 ttl_source = sr1(scan_packet, timeout=3, verbose=False)
191 #while 1:
192 # time.sleep(0.001)
193 if ttl_source:
194 try:
195 if ttl_source['IP'].fields['src'] == i:
196 probe_device_ttl[i] = ii
197 # switch = 1
198 break
199 else:
200 continue
201 except Exception as receive_error:
202 print(receive_error)
203 raise
204 # if switch == 1:
205 # break
206 else:
207 print('TTL超时!!!')
208
209 except KeyboardInterrupt:
210 print('')
211 sys.exit()
212
213 except Exception as error:
214 print('程序出现错误!!!')
215 print(error)
216 self.scan()
217 else:
218 print('准备完毕')
219 return probe_device_ttl
220
221 @staticmethod
222 def option():
223 print('请选择导入被扫描信息方式:\n'
224 '1 从文件导入\n'
225 '2 在程序中手动输入\n')
226
227 def scan(self):
228 # 功能选择
229 self.option()
230 try:
231 option = int(input('我选择: '))
232 print(option)
233 if option != 2 and option != 1:
234 raise OptionError
235 except OptionError:
236 print('请输入功能标号!')
237 self.scan()
238
239 # 获取要扫描IP列表
240 address_store = self.get_ip(option, '请输入被探测IP资源:')
241
242 # 获取要扫描的端口列表
243 port_range = self.get_port()
244
245 probe_device = self.get_ip(2, '请输入被探测的安全设备IP地址:')
246
247 # 自动检测到探测设备的TTL值,该值为一个字典,key为被探测安全设备IP,value为到该设备的TTL值
248 ttl = self.ttl_check(probe_device)
249
250 count = 0 # 用作进度百分比的分子. 以每个IP的每个端口为单位进行计数,总数为IP个数*端口个数
251
252 if ttl:
253 # 挨个儿朝被探测设备发送端口探测包
254 for probe_device_ip, ttl in ttl.items():
255
256 print(probe_device_ip + '端口开放情况:')
257
258 # 创建一个新文件,准备导入结果
259 write_file = open(probe_device_ip + '-result.txt', 'w')
260
261 try:
262 # 为每个被探测设备计算IP资源池中所有的IP资源
263 for i in address_store:
264
265 # 为每个IP计算各个输入IP端口范围开放情况
266 for port in port_range:
267 (low_port, high_port) = port
268 scan_packets = IP(dst=i, ttl=ttl) / TCP(dport=(low_port, high_port), flags='S') # 构造检测包
269 replay_packets_total = sr(scan_packets, timeout=self.speed, verbose=False) # 发送检测包及接收返回包
270 open_port_list = replay_packets_total[0].res # 开放端口原始对象列表(一个IP不同端口范围回包的集合)
271
272 # 一个IP有几个端口开放就有几个回包(如果端口被ACL干掉则不会回包),以下遍历回包来读取开放的端口
273 for ii in range(len(open_port_list)):
274 try:
275 if open_port_list[ii][1]['ICMP'].fields['type'] == 11: # ICMP类型为11时为TTL超时包
276 self.open_port.append(open_port_list[ii][0]['TCP'].fields['dport']) # TTL超时则为开放端口,将开放端口进行加表
277 continue
278 else:
279 if open_port_list[ii][1]['ICMP'].fields['type'] == 3: # 不知为啥有时候会返回类型为3的ICMP包(即:端口不可达包)
280 continue
281 else:
282 # 除11和3外其他类型的ICMP回包,需进行人工排查
283 print('ICMP返回类型不对')
284 print(open_port_list[ii][1]['ICMP'].fields)
285 print(open_port_list[ii][0]['TCP'].fields)
286 except IndexError:
287
288 # 如果探测设备IP刚好为要扫描的IP时,开放端口会返回SYN,ACK包
289 if open_port_list[ii][1]['TCP'].fields['flags'] == 'SA':
290 self.open_port.append(open_port_list[ii][0]['TCP'].fields['dport'])
291 continue
292
293 # 不知为啥有时候交换机会返回RST ACK的包
294 if open_port_list[ii][1]['TCP'].fields['flags'] == 'RA':
295 continue
296 else:
297 print('返回未知TCP包,需人工分析')
298 print(open_port_list[ii][1]['TCP'].fields,
299 open_port_list[ii][1]['TCP'].fields['flags'])
300 print(open_port_list[ii])
301
302 count += 1 # 执行进度+1(每计算完一个IP进度+1)
303 print(count)
304
305 # 进度统计
306 speed_to_progress = count / len(address_list) * len(port_range) * len(ttl) * 100
307 print('\r已完成:%.2f%% ' % speed_to_progress, end='')
308
309 self.open_port = self.int_single_to_range(self.open_port) # 对开放端口列表进行排序和范围化
310 print('针对' + i + '开放端口: ', self.open_port)
311 write_file.write(str(i) + ':' + str(self.open_port) + '\n') # 每扫描完一个IP就把该IP结果写入文件
312 self.open_port = [] # 扫尾工作,为下个IP扫描准备一个干净的开放端口列表
313
314 write_file.close()
315
316 except KeyboardInterrupt:
317 print('')
318 write_file.close()
319 sys.exit()
320 except Exception as error:
321 write_file.close()
322 print('程序异常退出!')
323 print(error)
324 else:
325 write_file.close()
326 print('')
327 if option == 1:
328 print('被探测设备%s已完成,结果已导入当前路径''\'%s\'''文件中' % (probe_device_ip, probe_device_ip + '-result.txt'))
329 if option == 2:
330 print('扫描已完成!')
331
332
333 if __name__ == '__main__':
334
335 def banner():
336 print('\n')
337 print('============================================')
338 print('\n')
339 print('\n')
340 print(' ACL有效性探测系统v1.0 ')
341 print('\n')
342 print('\n')
343 print('============================================')
344 print('\n')
345
346 def main():
347 banner()
348 a = PortScan()
349 a.scan()
350
351 main()
