OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用


OSSIM不仅降低了大家涉足IDS的门槛,而且为各种复杂的应用提供了一种快捷的平台,其中核心技术之一就是基于插件的事件提取,系统内置的180插件,几乎囊括了各大硬件设备厂商和各种网络应用。下面对OSSIM3 下把一些不起眼的小工具组合起来,就能为你解决大问题。下面就对pads+p0f+arpwatch的使用进行简单说明。

  1. 工具介绍

    对于下面介绍的这些开源工具,在OSSIM中无需安装配置,你只要懂得如何应用就OK。

Arpwatch:这款工具主要功能是监听网络中的ARP记录,它可用来监控Linux上的以太网地址解析(MAC和IP地址的变化)。它在一段时间内,持续监控以太网活动并输出IP和MAC地址配对变动的日志。对地址配对的增改发出警告,这对于检测网络上的ARP攻击非常有用,对于有时候临时上线服务器的检测也能及时发现。OSSIM中启用arpwatch插件实现主动检测,这样非常方便,只需要在检测插件中选择arpwatch即可,系统同就会为您自动安装并配置完毕,如下图所示。

 p0f:它是一款被动式的指纹识别工具,它通过分析网络通信识别远端的操作系统。

Pads:它属于被动资产检测系统,它的目的是检测资产的异常,比如服务异常。

ossim31:~#pads

pads - Passive Asset Detection System

v1.2- 06/17/05

Matt Shelton <[email protected]>

[-] Processing Existing assets.csv

[-]Filter:  (null)

Warning: Kernel filter failed: Socket operation onnon-socket

[-] Listening on interface eth0

[*] Asset Found: Port - 443 / Host - 192.168.11.128 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 443 / Host - 192.168.11.127 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.97 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.5 / MAC Address - 0:D0:B7:E0:99:AE (IntelCorporation)

[*] Asset Found: Port - 80 / Host - 111.206.80.103 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.127 / MAC Address - 0:0C:29:CA:18:10

[*] Asset Found: Port - 80 / Host - 111.206.80.96 / Service - www / Application - nginx

[*] Asset Found: Port - 49993 / Host - 192.168.11.1 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 2869 / Host - 192.168.11.5 / Service - www / Application -Microsoft-HTTPAPI/2.0

[*] Asset Found: Port - 80 / Host - 111.206.80.101 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 111.206.37.178 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 123.125.80.77 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 61.135.186.213 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 111.206.80.99 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.129 / MAC Address - 0:0C:29:16:E8:82

[*] Asset Found: Port - 443 / Host - 192.168.11.129 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.102 / Service - www / Application - nginx

普通用户在通过这三款工具来解决问题时,总需要查阅大量命令输出和繁杂的日志,即便是这样还是免不了出现纰漏,还有更好的解决方案?下面就让OSSIM来解决这些问题。

2.应 用

实验环境:OSSIM Server: ossim31

监控网段:    192.168.11.0/24

安装完OSSIM,打开WebUI,进入SIEM控制台,这时出现如下图所示的SIEM事件报警。

点击第一条报警,查看pads详情,如下图所示:

发现新的OS,如下图所示。

点击这条记录,查看详情,如下图所示。

对于arpwatch的抱紧如下图所示。

看过这些表格,也许会立刻觉得,以前利用tcpdump、wireshark抓包分析的历史可以一去不复返啦!以后还会介绍更牛的工具。OSSIM3提供的这点功能,的确能为我们解决大问题,可这仅是个已过时的版本,目前已经发展到OSSIM5.2,我在新书还会为大家介绍更佳实用的功能。

时间: 2024-08-24 12:07:35

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用的相关文章

OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用

OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用 OSSIM不仅降低了大家涉足IDS的门槛,而且为各种复杂的应用提供了一种快捷的平台,其中核心技术之一就是基于插件的事件提取,系统内置的180插件,几乎囊括了各大硬件设备厂商和各种网络应用.下面对OSSIM3 下把一些不起眼的小工具组合起来,就能为你解决大问题.下面就对pads+p0f+arpwatch的使用进行简单说明. 工具介绍 对于下面介绍的这些开源工具,在OSSIM中无需安装配置,你只要懂得如何应用就OK. Ar

Ossim 中漏洞扫描详解

Ossim 中漏洞扫描详解 Openvas是一套开源漏洞扫描系统,如果手动搭建需要复杂的过程,花费不少人力和时间成本,此文主要针对OSSIM平台下如何以图形化方式操作漏洞扫描的过程. 准备工作:首先确保没有运行的扫描进程和任务 扫描漏洞同时升级漏洞库会导致升级失败. 第一步:同步插件 #openvas-nvt-sync 同步数万个插件时间比较长,可以去喝杯咖啡啦,或者了解一下插件的组成. 表1 Openvas主要脚本分类及分布情况 规则名称 数量 备注 IIS_frontpage_DOS_2.n

java中常用的工具类(一)

我们java程序员在开发项目的是常常会用到一些工具类.今天我汇总了一下java中常用的工具方法.大家可以在项目中使用.可以收藏!加入IT江湖官方群:383126909 我们一起成长 一.String工具类 Java 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 5

backtrack中web测试工具

Backtrack 5中Web应用程序风险评估工具使用(Joomscan BlindElephant CMS-Explorer whatweb Plecost WPScan) 2013-03-02 04:03:51|  分类: 工具收集 |  标签:joomscan  blindelephant  whatweb  plecost  wpscan  |举报|字号 订阅 本文将介绍Backtrack 5中web应用程序风险评估模块下的部分工具的详细介绍和使用,包括工具的功能特点,使用方法等.希望对

在ArcEngine中使用Geoprocessing工具-执行工具

转自原文在ArcEngine中使用Geoprocessing工具-执行工具 来解析一下Geoprocessor类的Execute方法,他有两种重载,Execute(IGPProcess, ITrackCancel)和Execute(string, IVariantArray, ITrackCancel). Execute(IGPProcess, ITrackCancel) IGProcess是所有Geoprocessor工具类都实现了的接口,通过ITrackCancel接口能够处理用户发出的取消

合作开发三层架构版机房中的一些工具软件

一,EA 关于EA的使用,以前在http://blog.csdn.net/lhc1105/article/details/38128513 .真心感觉不错. 二,动软代码生成器 这个小东西主要因为是中文的,用起来感觉比EA上手,可以进行一些简单的操作:比如: 1,为数据库自动生成常用存储过程,也可以将自动生成的存储过程导出,交给D层的开发人员复制粘贴使用,减少工作量. 2,导出数据库设计文档,不过这个文档有点儿简单,要自己完善下. 3,生成三层架构的主体代码: 如图,连带有工厂模式的代码都可以生

eclipse中使用javap工具小结

关于javap的功能,百度百科上是这么解释的: javap javap是jdk自带的一个工具,可以反编译,也可以查看java编译器生成的字节码,是分析代码的一个好工具. 简单明了,大多时候真正的开发环境为linux系统,但是在windows下开发的时候又不习惯dos窗口的化,eclipse为我们提供了 javap的详细使用: 我们能够在eclipse中使用javap工具,我们有必要了解一下在eclipse中的Variables这个东西.这个英文单词的意思是变量集合的意思,意思就是我们以某些简短的

实用篇:说说我在JavaScript项目中使用的工具类

在JavaScript的开发中,我们都会写一些工具类来帮我们简化一些业务操作的逻辑,一下就貼几个我在项目开发过程中常用的工具类.表达能力有限,各位看官还是看源码吧. 一.日期处理工具类. /** * 日期处理工具类 * @Authors: jackyWHJ * @date 2013-10-18 * */ var DateUtils = { /** * 得到日期在一年当中的周数 */ getISOYearWeek: function(date) { var commericalyear = thi

java中常用的工具类(二)

下面继续分享java中常用的一些工具类,希望给大家带来帮助! 1.FtpUtil Java 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71