手把手教你用Dismap批量扫描内网资产，并自动生成JSON报告给领导

企业内网资产自动化盘点实战：从Dismap扫描到JSON报告生成全解析

每次接到领导"尽快整理一份完整的内网资产清单"的任务时，运维团队总会面临两个现实问题：如何快速发现所有在线设备？如何将技术数据转化为业务语言？传统的手工记录方式不仅效率低下，还容易遗漏关键资产。本文将分享一套基于Dismap的自动化解决方案，通过三个步骤实现从扫描到报告的全流程。

1. 环境准备与基础扫描

工欲善其事，必先利其器。在开始大规模扫描前，需要确保Dismap工具与环境正确配置。从项目GitHub仓库下载对应系统的二进制文件后，建议在测试环境中验证基本功能：

# 验证工具可用性（测试版） ./dismap -u http://example.com -o test_output.txt

对于企业内网扫描，通常需要处理的是IP段而非单个地址。Dismap的-i参数支持CIDR表示法和IP范围两种格式：

# CIDR格式扫描示例 ./dismap -i 192.168.1.0/24 -o scan_result.txt # IP范围扫描示例（适用于非标准子网） ./dismap -i 192.168.1.100-200 -o range_scan.txt

注意：生产环境中建议添加--np参数跳过PING检测，某些企业网络可能禁用ICMP协议

首次扫描建议使用默认参数建立基线，后续再根据需求调整。典型的扫描报告包含以下关键字段：

2. 高级参数与精准识别

基础扫描只能发现显性服务，真正的价值在于深度识别。Dismap的指纹库包含4500+规则，通过组合参数可以实现精准识别：

# 全端口扫描+JSON输出 ./dismap -i 192.168.1.0/24 -p 1-65535 -j detailed_report.json

遇到特定业务系统时，-m参数可以直接指定协议类型：

# 专项识别数据库服务 ./dismap -i 192.168.1.0/24 -m mysql -o db_assets.txt

实际项目中常见的参数组合方案：

• 快速盘点模式：-i 192.168.1.0/24 --np -t 800
• 深度识别模式：-i 192.168.1.0/24 -p 1-65535 -j full_scan.json
• 专项审计模式：-i 192.168.1.0/24 -m http --timeout 10

提示：使用-l 4开启Debug日志可获取更详细的扫描过程信息

3. JSON报告解析与可视化

原始JSON数据需要经过处理才能成为业务报告。以下是典型的报告处理流程：

1. 数据清洗：过滤掉无服务响应的IP
2. 资产分类：按协议/端口分组
3. 风险标记：标识已知漏洞版本
4. 可视化呈现：生成统计图表

Python处理示例：

import json import pandas as pd with open('result.json') as f: data = json.load(f) df = pd.DataFrame(data) # 按协议类型统计 protocol_stats = df.groupby('protocol').size() print(protocol_stats.to_markdown())

最终报告应包含以下核心模块：

• 资产概览：设备总数、服务类型分布
• 重点资产：关键业务系统清单
• 异常发现：未知设备/非常规端口
• 安全建议：过期服务升级计划

4. 自动化集成与持续监控

单次扫描价值有限，真正的效能来自常态化运行。推荐两种自动化方案：

方案A：定时任务+邮件通知

# 每周日凌晨2点执行扫描 0 2 * * 0 /opt/dismap -i 192.168.1.0/24 -j /reports/weekly_scan_$(date +\%Y\%m\%d).json

方案B：API集成+CMDB同步

# 伪代码示例 def sync_to_cmdb(scan_data): for asset in scan_data: cmdb_api.update( ip=asset['target'], service=asset['service'], last_seen=datetime.now() )

企业级部署还需要考虑：

• 扫描性能优化（合理设置线程数）
• 结果存储方案（Elasticsearch等）
• 差异对比机制（新增/消失资产告警）

实际项目中，我们会将Dismap与运维平台集成，当发现新设备自动触发工单流程。某次扫描曾意外发现财务部门私自搭建的FTP服务器，及时避免了数据泄露风险。