温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

用OSSIM发现网络扫描

发布时间:2020-07-15 11:57:51 来源:网络 阅读:5133 作者:李晨光 栏目:安全技术

用OSSIM发现网络扫描


     网络扫描原本是用于网络资源管理。通过获取活动主机、开放服务、操作系统等关键信息的重要技术。扫描技术包括Ping 扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)。详情参考《基于OSSIM平台的漏洞扫描详解》、《OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用》。

     这些扫描器在扫描时大多使用小包,这时想通过流量监控系统(Zabbix等)发现扫描行为,是不容易实现的。需要使用***检测系统方可发现这种异常行为。

注意 你或许可以通过扫描工具来获取本网段内主机的IPMAC地址的对应关系,如果跨网关就无法获取,因为ARP包是无法跨越网段传输。


  在企业网环境里你可以通过网管软件中启用的SNMP协议获取IPMAC地址,但如果某台主机没有通过三层交换设备发送数据包,或者三层设备未开启三层交换功能,就无法获得这些信息。


  1.    抓包工具发现扫描行为


我们看一个正常时候的网络通信的截图


用OSSIM发现网络扫描


出现扫描的网络通信


用OSSIM发现网络扫描


发现区别了吧,下面我们可以通过类似Tcpdump或Wireshark这种抓包工具发现以nmap为实例的扫描。

下面在Linux主机上使用nmap工具扫描Windows主机端口的情况。


用OSSIM发现网络扫描


如果你换成 Sniffer Pro也有类似的界面。


用OSSIM发现网络扫描


网络管理者每天有多少时间来做这种枯燥乏味的工作?很显然利用这些工具发现扫描行为并不算一种好的解决方案。


2. 通过***检测系统发现扫描


OSSIM平台的Sensor里集成了Snort,无需人工之手,所有报警都自动完成,下面仅举一个nmap扫描检测snort规则的例子来说明。


”alert tcp $EXTERNAL_NET any -> $HOME_NET any”


用OSSIM发现网络扫描

用OSSIM发现网络扫描


以上报警都由系统自动完成。


OSSIM课程

OSSIM典型应用案例视频课程(安装、配置和开发)

http://edu.51cto.com/course/course_id-7616.html

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI