人人IT網

人人IT網

當前位置: 主頁 > 操作系統 > OS >

用OSSIM發現網络掃描

時間:2016-11-11 19:03來源:Internet 作者:Internet 點擊:
用OSSIM發現網络掃描     網络掃描原本是用於網络資源管理。通過獲取活動主機、開放服務、操作系統等關鍵信息的重要技術。掃描技術包括Ping 掃描(確定哪些主機正在活

用OSSIM發現網络掃描


     網络掃描原本是用於網络資源管理。通過獲取活動主機、開放服務、操作系統等關鍵信息的重要技術。掃描技術包括Ping 掃描(確定哪些主機正在活動)、端口掃描(確定有哪些開放服務)、操作系統辨識(確定目標主機的操作系統類型)。詳情参考《基於OSSIM平台的漏洞掃描詳解》、《OSSIM中主動與被動探測工具(arpwatch+p0f+pads)組合應用》。

     這些掃描器在掃描時大多使用小包,這時想通過流量監控系統(Zabbix等)發現掃描行为,是不容易實現的。需要使用入侵檢測系統方可發現這種異常行为。

注意 你或許可以通過掃描工具來獲取本網段內主機的IPMAC地址的對應關系,如果跨網關就無法獲取,因为ARP包是無法跨越網段傳輸。


  在企業網環境裏你可以通過網管軟件中启用的SNMP協議獲取IPMAc地址,但如果某台主機沒有通過三層交換設備發送數據包,或者三層設備未開启三層交換功能,就無法獲得這些信息。


  1.    抓包工具發現掃描行为


我們看一個正常時候的網络通信的截圖


wKioL1gkJu3h5SxfAAC9i9mKsR4406.jpg-wh_50


出現掃描的網络通信


wKioL1gkJv6wSGHOAAGRWqi5b70912.jpg-wh_50


發現區別了吧,下面我們可以通過類似Wireshark這種抓包工具發現以nmap为實例的掃描。

下面在Linux主機上使用nmap工具掃描Windows主機端口的情況。


wKioL1gkJ4DRTQ72AAKURiQWMWU596.jpg-wh_50


如果你換成 Sniffer Pro也有類似的界面。


wKiom1glKVqgOQuNAAH5n46X5qQ746.jpg-wh_50


網络管理者每天有多少時間來做這種枯燥乏味的工作?很顯然利用這些工具發現掃描行为並不算一種好的解决方案。


2. 通過入侵檢測系統發現掃描


OSSIM平台的Sensor裏集成了Snort,無需人工之手,所有報警都自動完成,下面僅舉一個nmap掃描檢測snort規則的例子來說明。


”alert tcp $EXTERNAL_NET any -> $HOME_NET any”


wKiom1gkKKfgERedAAGeia_gUVk938.jpg

wKiom1gkKWvADXAAAAFuFuWbm4U066.jpg


以上報警都由系統自動完成。


OSSIM課程

OSSIM典型應用案例視頻課程(安裝、配置和開發)

http://go.rritw.com/edu.51cto.com/course/course_id-7616.html

本文出自 “李晨光原創技術博客” 博客,請務必保留此出處http://go.rritw.com/chenguang.blog.51cto.com/350944/1871503


From:51CTO
頂一下
(0)
0%
踩一下
(0)
0%
------分隔線----------------------------
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
評價:
表情:
驗證碼:點擊我更換圖片
欄目列表
推薦內容