内网扫描工具实战对比

admin
admin
admin
0
文章
0
评论
2026-03-13 00:16:41 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文对比内网扫描工具fscan与fscanx,针对原版代理误报、ICMP不可控等痛点,详解fscanx在代理误报修复、大网段智能探测、内存优化等方面的改进。文章指出fscanx在代理扫内网、大网段探测等实战场景中表现更佳,能有效降低误报并提升资产测绘效率,建议相关安全从业者根据实际场景选用。 综合评分: 88 文章分类: 内网渗透,安全工具,渗透测试,实战经验

cover_image

内网扫描工具实战对比

原创

LHACK安全 LHACK安全

LHACK安全

2026年3月11日 10:00 北京

免责申明

本文内容仅用于信息安全防御技术的学习与研究,旨在提升安全意识与防护能力。请读者严格遵守《中华人民共和国网络安全法》等相关法律法规,严禁将本文所涉技术用于任何非法用途。因擅自使用本文内容而引发的一切法律责任,由使用者自行承担,作者不负任何责任。

前言

fscan 大家都用过,内网资产扫描的神器。去年 fscanx 出来的时候我试了一下,这半年在几个项目里实际用了,说说和原版 fscan 的区别。

先说结论:fscanx 更适合实战场景,尤其是代理扫内网、大网段探测这些场景。

原版 fscan 的几个痛点

  用原版 fscan 的时候,这些坑应该都踩过:

1. 代理模式下端口误报

这个最难受,应该很多师傅都遇到过。

你用 socks5 代理扫内网,结果扫出来一堆”开放”端口,实际去连根本连不上。

原因: 很多代理(比如 clash/v2ray)在本地 socks5 握手时直接返回”连接成功”,但实际上目标端口根本没开。fscan 把”代理连通”当成了”端口开放”。

结果就是:你以为扫到一堆资产,实际全是误报,浪费时间验证。

2. ICMP 扫描太猛

fscan 开 icmp 验活的时候,速率不可控。某次扫 /16 网段,直接把客户路由器干崩了,自己先断网。

3. 信息收集割裂

你有 IP、有网段、有域名、有 URL、还有 masscan 的输出…每个工具扫各的,最后手工合并,烦。

4. 指纹识别不够细

端口扫出来了,但协议识别、Web 信息提取不够”一步到位”,还得二次扫。

5. VPN 场景错扫本地网段

连着 VPN 扫内网,结果流量走了本地网卡,把本地上游网络当成目标内网扫了,误判误打。

fscanx 的改进

1. 代理模式端口误报修复

这个是我觉得最有价值的改进。

fscanx 的做法:

socks5 连接建立后,先发一个极简探针(GET / HTTP/1.0\r\n\r\n),然后尝试读取响应。

只要能读到 1 个字节,就确认目标端口真实开放,然后再建立新连接交给后续处理。

简单说:用”真实收包”来验证”端口开放”,而不是把代理连通当开放。

实际效果:

某次通过代理扫 /24 网段:

  • 原版 fscan:扫出 300+ 个”开放”端口,实际能用的只有 80 个左右
  • fscanx:扫出 85 个开放端口,全部验证通过

时间直接省了一半。

2. 大网段智能探测(-auto)

面对 /8、/16 这种大网段,全扫成本太高。

fscanx 加了个 -auto 参数:

fscanx -h 192.168.0.0/16 -auto

原理:

  • 按 C 段为单位筛选
  • 每个 C 段只探测 1,2,253,254 四个 IP 位
  • 对这四个 IP 做 tcp+icmp 验活
  • tcp 默认打 80 端口(网关/管理面板概率高)
  • 命中则认为该 C 段”存活”,再进入常规扫描 效果: 某次扫 10.0.0.0/8:
  • 不用 -auto:全扫要 8 小时+
  • 用 -auto:20 分钟筛出 12 个存活 C 段,再扫只需 40 分钟

相关参数:

-auto       # 开启智能预扫描
-am tcp,icmp  # 验活方式
-ap 22,80    # tcp 验活端口
-ai 253,128  # 每个 C 段探测哪些 IP 位
-atime 2     # tcp 建连超时(秒)

3. 内存优化

原版 fscan 高并发的时候内存容易起飞。

fscanx 的优化思路很工程化:

  • tcp dialer/timeout/keepalive 策略调整
  • http 只读前 192KB 报文(避免大响应拖垮内存)
  • gonmap 探针与正则优选(保留主流协议)
  • 指纹引擎换成 chainreactors/fingers(Web 指纹更现代)
  • 生产者/消费者通道化(降低内存峰值)
  • icmp 用布隆过滤器过滤杂包
  • 正则预编译、sync.Pool 降低对象分配

实际压测:

| 场景 | 并发 | 内存占用 | | — | — | — | | 端口扫描 | 1000 | 89MB(无 nmap)/ 154MB(有 nmap) | | URL 扫描 | 1000 | 450-620MB |

对比某些”连接复用失控”的工具,这个量级已经很稳了。

4. 指纹体系重构

协议指纹(-nmap):

基于 gonmap 优化,保留常用协议:

http/https/sslsmb、rdp、snmpmssql、redis、mysql、oracle、mongodbftp、ssh、telnet、vncldap、imap/smtp/pop3svn、rsync、rpc、netbios...

Web 指纹:

默认加载 fingers + goby 两套,goby 的误报指纹作者已经清理了一部分。

效果:

一次扫描能直接拿到:

  • 端口状态
  • 协议类型
  • Web 指纹
  • 标题、证书信息

基本不用二次扫了。

5. -hf 增强:一份 target.txt 搞定信息收集

以前你要准备多个文件:

ip.txtdomain.txturl.txtmasscan_output.txt

现在 fscanx 的 -hf 支持混合输入,每行一种:

192.168.1.1192.168.1.1:8080192.168.1.0/24example.comhttps://example.com(还可以直接塞 masscan 的输出)

配合 -pd 参数:

-pd 控制是否把 url/域名解析出的 IP 转 C 段加入端口扫描。

只做 Web 探测

fscanx -hf target.txt

信息收集(域名→ip→同 C 段扩展)

fscanx -hf target.txt -pd -nmap -np

这个组合在日常信息收集里很实用。

6. IP 归属地(qqwry.dat)

把 qqwry.dat 扔到 fscanx 同目录就行。

下载地址:https://github.com/metowolf/qqwry.dat

扫出来的结果会带上 IP 归属,做资产整理的时候方便分类。

7. 选项变动:默认更克制

原版 fscan 默认会跑 POC 和弱口令,但很多时候你只想做资产探测。

fscanx 去掉了 -nopoc-nobr,改成:

  • -poc

    :启用 POC 扫描(默认不扫)

  • -br

    :启用弱口令爆破(默认不爆)

更符合实际使用习惯:你需要什么再开什么。

常用命令对比

大网段快速扫描

fscan:

fscan -h 192.168.0.0/16 -p 1-65535

全扫,时间长,成本高。

fscanx:

fscanx -h 192.168.0.0/16 -auto -nmap -t 1000 -np

先筛活段,再深扫,省时间。

新目标信息收集

fscan:

# 要准备多个文件,分开扫fscan -hf ip.txtfscan -hf url.txtfscan -hf domain.txt

fscanx:

# 一份文件搞定fscanx -hf target.txt -pd -nmap -np

代理模式远程扫内网

fscan:

fscan -proxy socks5://127.0.0.1:1080 -h 192.168.1.1/24

误报多,要二次验证。

fscanx:

fscanx -socks5 socks5://127.0.0.1:1080 -h 192.168.1.1/24 -auto

误报少,结果可靠。

联动 masscan

fscan:

masscan -p 80,443 192.168.0.0/16 -oL output.txtcat output.txt | fscan -hf -

fscanx:

masscan -p 80,443 192.168.0.0/16 -oL output.txtcat output.txt | fscanx -std -nmap -t 200

-std 专门处理 masscan 输出。

实际使用建议

什么时候用 fscanx?

  • ✅ 通过代理/隧道扫内网(误报少)
  • ✅ 大网段探测(-auto 省时间)
  • ✅ 信息收集阶段(-hf + -pd 一条龙)
  • ✅ 低配 VPS(内存占用低)

什么时候继续用 fscan?

  • ✅ 简单的端口扫描(fscan 够用)
  • ✅ 小网段/目标少(没必要换)
  • ✅ 习惯 fscan 的输出格式

总结

fscanx 不是要替代 fscan,而是在几个实战痛点上做了改进:

最值钱的改进:

  • 代理扫描不再误报(远程内网测绘的生命线)
  • 大网段先筛活再深扫(降低无效扫描成本)
  • -hf + -pd 把信息收集流程串起来(减少手工处理)
  • 内存/IO 优化(能在垃圾 VPS 上跑)

如果你经常做内网资产测绘、扫内网,fscanx 值得一试。

总工具获取

   公众号回复”fscanx”即可获取工具链接地址。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:LHACK安全 LHACK安全 LHACK安全《内网扫描工具实战对比》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
    ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
    安全领域涉猎者-乌云独行地带
    ZONE.CI 全球网
    评论:0   参与:  0