用OSSIM发现网络扫描
2016-11-20 17:57
239 查看
用OSSIM发现网络扫描
网络扫描原本是用于网络资源管理。通过获取活动主机、开放服务、操作系统等关键信息的重要技术。扫描技术包括Ping
扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)。详情参考《基于OSSIM平台的漏洞扫描详解》、《OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用》。
这些扫描器在扫描时大多使用小包,这时想通过流量监控系统(Zabbix等)发现扫描行为,是不容易实现的。需要使用入侵检测系统方可发现这种异常行为。
注意:
你或许可以通过扫描工具来获取本网段内主机的IP跟MAC地址的对应关系,如果跨网关就无法获取,因为ARP包是无法跨越网段传输。
在企业网环境里你可以通过网管软件中启用的SNMP协议获取IP和MAC地址,但如果某台主机没有通过三层交换设备发送数据包,或者三层设备未开启三层交换功能,就无法获得这些信息。
抓包工具发现扫描行为
我们看一个正常时候的网络通信的截图
出现扫描的网络通信
发现区别了吧,下面我们可以通过类似Tcpdump或Wireshark这种抓包工具发现以nmap为实例的扫描。
下面在Linux主机上使用nmap工具扫描Windows主机端口的情况。
如果你换成 Sniffer Pro也有类似的界面。
网络管理者每天有多少时间来做这种枯燥乏味的工作?很显然利用这些工具发现扫描行为并不算一种好的解决方案。
2. 通过入侵检测系统发现扫描
OSSIM平台的Sensor里集成了Snort,无需人工之手,所有报警都自动完成,下面仅举一个nmap扫描检测snort规则的例子来说明。
”alert tcp $EXTERNAL_NET any -> $HOME_NET any”
以上报警都由系统自动完成。
OSSIM课程:
/course/course_id-
网络扫描原本是用于网络资源管理。通过获取活动主机、开放服务、操作系统等关键信息的重要技术。扫描技术包括Ping
扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)。详情参考《基于OSSIM平台的漏洞扫描详解》、《OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用》。
这些扫描器在扫描时大多使用小包,这时想通过流量监控系统(Zabbix等)发现扫描行为,是不容易实现的。需要使用入侵检测系统方可发现这种异常行为。
注意:
你或许可以通过扫描工具来获取本网段内主机的IP跟MAC地址的对应关系,如果跨网关就无法获取,因为ARP包是无法跨越网段传输。
在企业网环境里你可以通过网管软件中启用的SNMP协议获取IP和MAC地址,但如果某台主机没有通过三层交换设备发送数据包,或者三层设备未开启三层交换功能,就无法获得这些信息。
抓包工具发现扫描行为
我们看一个正常时候的网络通信的截图
出现扫描的网络通信
发现区别了吧,下面我们可以通过类似Tcpdump或Wireshark这种抓包工具发现以nmap为实例的扫描。
下面在Linux主机上使用nmap工具扫描Windows主机端口的情况。
如果你换成 Sniffer Pro也有类似的界面。
网络管理者每天有多少时间来做这种枯燥乏味的工作?很显然利用这些工具发现扫描行为并不算一种好的解决方案。
2. 通过入侵检测系统发现扫描
OSSIM平台的Sensor里集成了Snort,无需人工之手,所有报警都自动完成,下面仅举一个nmap扫描检测snort规则的例子来说明。
”alert tcp $EXTERNAL_NET any -> $HOME_NET any”
以上报警都由系统自动完成。
OSSIM课程:
OSSIM典型应用案例视频课程(安装、配置和开发)
/course/course_id-
相关文章推荐
- 用OSSIM发现网络扫描 推荐
- 网络扫描(主机发现和端口扫描)
- 用网络分析发现ARP扫描和ARP病毒木马的全过程
- 网络拓扑发现原理研究
- 网络攻防之——常用网络扫描工具
- 我谈网络扫描 -- 之二 推荐
- 基于ARP的网络扫描工具netdiscover
- Kali Linux 网络扫描秘籍 第四章 指纹识别(二)
- windows 2008 r2 开启互访和网络发现
- 从僵尸网络追踪到入侵检测 第4章 Honeyd动态模板防御扫描软件攻击
- 8月第1周网络安全报告:发现高危漏洞46个 降幅20.7%
- Kali Linux 网络扫描秘籍 第六章 拒绝服务(二)
- 网络安全公司发现朝鲜一大学秘密挖矿
- Kali Linux 网络扫描秘籍 第二章 探索扫描(二)
- 完成网络传真,网络扫描。
- 科来2010网络扫描软件-学习资料
- 用OSSIM轻松分析网络设备日志
- 解决Windows Server 2008 R2无法保存网络发现状态更改问题
- 【Linux技术】linux网络扫描程序开发
- “网络发现”不能启用问题的答案