转载

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用

OSSIM 不仅降低了大家涉足 IDS 的门槛,而且为各种复杂的应用提供了一种快捷的平台,其中核心技术之一就是基于插件的事件提取,系统内置的 180 插件,几乎囊括了各大硬件设备厂商和各种网络应用。下面对 OSSIM3 下把一些不起眼的小工具组合起来,就能为你解决大问题。下面就对pads+p0f+ arpwatch的使用 进行简单说明。

  1. 工具介绍

    对于下面介绍的这些开源工具,在OSSIM中无需安装配置,你只要懂得如何应用就OK。

Arpwatch: 这款工具主要功能是监听网络中的 ARP 记录,它可用来监控 Linux 上的以太网地址解析 (MAC IP 地址的变化 ) 。它在一段时间内,持续监控以太网活动并输出 IP MAC 地址配对变动的日志。对地址配对的增改发出警告,这对于检测网络上的 ARP 攻击非常有用,对于有时候临时上线服务器的检测也能及时发现。 OSSIM 中启用 arpwatch插件实现主动检测,这样 非常方便,只需要在检测插件中选择 arpwatch 即可,系统同就会为您自动安装并配置完毕, 如下图所示。

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

  p0f: 它是 一款被动式的指纹识别工具,它通过分析网络通信识别远端的操作系统。

Pads:它属于 被动资产检测系统,它的目的是检测资产的异常,比如服务异常。

ossim31:~#pads

pads - Passive Asset Detection System

v1.2- 06/17/05

Matt Shelton <matt@mattshelton.com>

[-] Processing Existing assets.csv

[-]Filter:  (null)

Warning: Kernel filter failed: Socket operation onnon-socket

[-] Listening on interface eth0

[*] Asset Found: Port - 443 / Host - 192.168.11.128 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 443 / Host - 192.168.11.127 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.97 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.5 / MAC Address - 0:D0:B7:E0:99:AE (IntelCorporation)

[*] Asset Found: Port - 80 / Host - 111.206.80.103 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.127 / MAC Address - 0:0C:29:CA:18:10

[*] Asset Found: Port - 80 / Host - 111.206.80.96 / Service - www / Application - nginx

[*] Asset Found: Port - 49993 / Host - 192.168.11.1 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 2869 / Host - 192.168.11.5 / Service - www / Application -Microsoft-HTTPAPI/2.0

[*] Asset Found: Port - 80 / Host - 111.206.80.101 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 111.206.37.178 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 123.125.80.77 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 61.135.186.213 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 111.206.80.99 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.129 / MAC Address - 0:0C:29:16:E8:82

[*] Asset Found: Port - 443 / Host - 192.168.11.129 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.102 / Service - www / Application - nginx

普通用户在通过这三款工具来解决问题时,总需要查阅大量命令输出和繁杂的日志,即便是这样还是免不了出现纰漏,还有更好的解决方案?下面就让OSSIM来解决这些问题。

2.应 用

实验环境: OSSIM Server ossim31

监控网段:     192.168.11.0/24

安装完OSSIM,打开WebUI,进入SIEM控制台,这时出现如下图所示的SIEM事件报警。

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

点击第一条报警,查看pads详情,如下图所示:

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

发现新的OS,如下图所示。

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

点击这条记录,查看详情,如下图所示。

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

对于arpwatch的抱紧如下图所示。

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

看过这些表格,也许会立刻觉得,以前利用tcpdump、wireshark抓包分析的历史可以一去不复返啦!以后还会介绍更牛的工具。OSSIM3提供的这点功能,的确能为我们解决大问题,可这仅是个已过时的版本,目前已经发展到OSSIM5.2,我在新书还会为大家介绍更佳实用的功能。

正文到此结束
Loading...