草庐IT

OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用

李晨光 2023-03-28 原文
OSSIM中主动与被动探测工具(pads+p0f+arpwatch)组合应用


OSSIM不仅降低了大家涉足IDS的门槛,让监控技术“平民化”,而且还为各种复杂的应用提供了一种快捷的平台,其中核心技术之一就是基于插件的事件提取,系统内置的180插件,几乎囊括了各大硬件设备厂商和各种网络应用。下面对OSSIM3 下把一些不起眼的小工具组合起来,就能为你解决大问题。下面就对pads+p0f+arpwatch的使用进行简单说明。


  1. 工具介绍

     

    对于下面介绍的这些开源工具,在OSSIM中无需安装配置,你只要懂得如何应用就OK。

Arpwatch:这款工具主要功能是监听网络中的ARP记录,它可用来监控Linux上的以太网地址解析(MACIP地址的变化)。它在一段时间内,持续监控以太网活动并输出IPMAC地址配对变动的日志。对地址配对的增改发出警告,这对于检测网络上的ARP攻击非常有用,对于有时候临时上线服务器的检测也能及时发现。OSSIM中启用arpwatch插件实现主动检测,这样非常方便,只需要在检测插件中选择arpwatch即可,系统同就会为您自动安装并配置完毕,如下图所示。


 p0f:它是一款被动式的指纹识别工具,它通过分析网络通信识别远端的操作系统。

ossim31:~# p0f

p0f - passive os fingerprinting utility, version 2.0.8

(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>

p0f: listening (SYN) on 'eth0', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'.

192.168.11.2:51579 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.168.11.127:443 (link: ethernet/modem)

192.168.11.1:3538 - Linux 2.6, seldom 2.4 (older, 2) (up: 3221 hrs) 

  -> 192.168.11.21:21 (distance 0, link: ethernet/modem)

192.168.11.2:51586 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 61.135.189.216:80 (link: ethernet/modem)

192.168.11.1:3896 - Linux 2.6, seldom 2.4 (older, 2) (up: 3221 hrs) 

  -> 192.168.11.248:3389 (distance 0, link: ethernet/modem)

192.168.11.2:51588 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.229.145.200:443 (link: ethernet/modem)

192.168.11.2:51587 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.229.145.200:443 (link: ethernet/modem)

192.168.11.2:51589 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 61.240.129.78:80 (link: ethernet/modem)

... ...


 Pads:它属于被动资产检测系统,它的目的是检测资产的异常,比如服务异常。

ossim31:~#pads

pads - Passive Asset Detection System

v1.2- 06/17/05

Matt Shelton <matt@mattshelton.com>

[-] Processing Existing assets.csv

[-]Filter:  (null)

Warning: Kernel filter failed: Socket operation onnon-socket

[-] Listening on interface eth0

[*] Asset Found: Port - 443 / Host - 192.168.11.128 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 443 / Host - 192.168.11.127 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.97 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.5 / MAC Address - 0:D0:B7:E0:99:AE (IntelCorporation)

[*] Asset Found: Port - 80 / Host - 111.206.80.103 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.127 / MAC Address - 0:0C:29:CA:18:10

[*] Asset Found: Port - 80 / Host - 111.206.80.96 / Service - www / Application - nginx

[*] Asset Found: Port - 49993 / Host - 192.168.11.1 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 2869 / Host - 192.168.11.5 / Service - www / Application -Microsoft-HTTPAPI/2.0

[*] Asset Found: Port - 80 / Host - 111.206.80.101 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 111.206.37.178 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 123.125.80.77 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 61.135.186.213 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 111.206.80.99 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.129 / MAC Address - 0:0C:29:16:E8:82

[*] Asset Found: Port - 443 / Host - 192.168.11.129 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.102 / Service - www / Application - nginx


普通用户在通过这三款工具来解决问题时,总需要查阅大量命令输出和繁杂的日志,即便是这样还是免不了出现纰漏,

除了查看上图中得日志文件,还有更好的解决方案?下面就让OSSIM来解决这些问题。

 

2.应 用


实验环境:OSSIM Server ossim31


监控网段:    192.168.11.0/24

 

安装完OSSIM,打开WebUI,进入SIEM控制台,这时出现如下图所示的SIEM事件报警。

图 基于 Web 的动态图形异常分析

点击第一条报警,查看pads详情,如下图所示:

一条发现新的OS报警,如下图所示。

点击这条记录,查看详情,如下图所示。

对于arpwatch的报警,如下图所示。

下面看看有关ARP异常的报警

3.事件分类

如果有成千上万条arpwatch,p0f以及pads事件,你怎么分析?先看一下OSSIM中的效果:

像这样分类之后,就可以从整体上分析这几类报警的类别及来源,点击每天事件,同样能查看到事件详情。


      看过这些表格,也许会觉得,比以前使用tcpdump、wireshark来获取ARP变化,好用多啦!以后还会介绍更牛的工具。OSSIM3提供的这点功能,的确能为我们解决大问题,可这仅是个已过时的版本,目前已经发展到OSSIM5.2,我在新书还会为大家介绍更佳实用的功能。

arpwatchOSSIMspanfont-familystyleossimNginx服务器

有关OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用的更多相关文章

  1. STM32读取串口传感器数据(颗粒物传感器,主动上传) - 2

    文章目录1.开发板选择*用到的资源2.串口通信(个人理解)3.代码分析(注释比较详细)1.主函数2.串口1配置3.串口2配置以及中断函数4.注意问题5.源码链接1.开发板选择我用的是STM32F103RCT6的板子,不过代码大概在F103系列的板子上都可以运行,我试过在野火103的霸道板上也可以,主要看一下串口对应的引脚一不一样就行了,不一样的就更改一下。*用到的资源keil5软件这里用到了两个串口资源,采集数据一个,串口通信一个,板子对应引脚如下:串口1,TX:PA9,RX:PA10串口2,TX:PA2,RX:PA32.串口通信(个人理解)我就从串口采集传感器数据这个过程说一下我自己的理解,

  2. ruby - Sinatra 在 Ruby 1.9.2-p0 上找不到 View - 2

    我对Ruby语言还很陌生(到目前为止我是用Groovy+Grails开发的)但是因为我对它很好奇所以我想在Ruby1.9.2-p0上试用Sinatra。我有一个简单的网站,它包含在/mywebpage中并且有2个文件:#blog.rbget'/'do'HelloWorld!'endget'/impossible'dohaml:indexend和#config.rupath=File.expand_path"../",__FILE__$LOAD_PATH然后在同一个文件夹中,我有一个包含index.haml的/views/文件夹。我尝试使用rackup-p8080运行服务器,但是当我尝试

  3. ruby FTP被动模式错误 - 2

    我试过在被动模式下使用FTP:require'net/ftp'ftp=Net::FTP.newftp.passive=trueftp.connect('mydomain.com')ftp.loginfilenames=ftp.nlst但是有错误:Errno::ETIMEDOUT:Connectiontimedout-connect(2)虽然在事件模式下它工作正常!我使用ruby​​1.9.3。当我设置Debug模式时:ftp.debug_mode=true我明白了:**ftp.connect('mydomain.com')**connect:mydomain.com,21get:220

  4. ruby - 使用 rbenv BUILD FAILED 安装 ruby​​-2.0.0-p0 - 2

    所以我尝试通过rbenv在运行在VirtualBox上的新ubuntu12.04LTS上安装ruby​​。我从https://github.com/sstephenson/rbenv得到了rbenv和ruby​​-build来自https://github.com/sstephenson/ruby-build.然后我运行以下但构建失败:(rbenvinstall2.0.0-p0Downloadingruby-2.0.0-p0.tar.gz...->http://ftp.ruby-lang.org/pub/ruby/2.0/ruby-2.0.0-p0.tar.gzInstallingru

  5. ruby-on-rails - RoR - 哪个是首选 - 机架中间件或主动 Controller 过滤器? - 2

    对于最新版本的RubyonRails(问这个问题时是4),实现修改请求/响应(例如身份验证机制)的代码的首选方法是什么。我看到许多网站和教程提倡Rackmiddleware虽然似乎可以通过ActionControllerfiltermethods实现相同的功能.除了讨论首选方法外,是否可以提供每种方法的优缺点比较?在我最初的调查中,ActionController过滤器方法似乎更紧密地集成到RoR应用程序中,这样您就可以绕过在某些Controller端点上运行某些过滤器,而中间件似乎无法拥有该级别的控制。这样的细节会很棒。谢谢! 最佳答案

  6. ruby-on-rails - Rails 主动存储 - 打开/下载链接 - 2

    关于ActiveStorage的问题:我刚刚更新到Rails5.2,我正在尝试打开保存为blob的附件文档.目前,它正在重定向到root_path,知道如何打开/下载它吗?我在RailsView中的代码是: 最佳答案 下载:预览:来源-ActiveStorage#LinkingtoFilesdocumentation 关于ruby-on-rails-Rails主动存储-打开/下载链接,我们在StackOverflow上找到一个类似的问题: https://st

  7. ruby - 无法将 ruby​​-debug19 与 1.9.3-p0 一起使用? - 2

    这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:Rails3.1andRuby1.9.3p125:ruby-debug19stillcrasheswith“Symbolnotfound:_ruby_threadptr_data_type”我运行这个:gem安装ruby​​-debug19在我的cucumberenv.rb文件中,我有这个:需要'ruby-debug'但是,当我尝试运行时,我得到了这个异常:/home/skendall/.rvm/gems/ruby-1.9.3-p0/gems/ruby-debug-base19-0.11.25/lib/rub

  8. ruby-on-rails - 如何使用 rvm 将我的 ruby​​ 1.9.2-p0 升级到最新的补丁级别? - 2

    我当前的ruby​​版本是ruby1.9.2p0(2010-08-18revision29036)[x86_64-darwin10.5.0]但我想使用rvm将它更新到最新的补丁级别。我该怎么做? 最佳答案 首先,通过运行rvmgetstable更新您的RVM安装。为确保您运行的是新的RVM版本,您需要运行rvmreload(或者只打开一个新终端)。完成后,您可以通过运行rvmlistknown要求RVM列出可安装的ruby​​版本。在输出中您现在应该看到:#MRIRubies...[ruby-]1.9.2[-p320]...补丁级别

  9. javascript - 如何检查监听器事件是否为被动事件? - 2

    我正在编写一个手势/Action库,它还管理事件监听器和触发。我已经实现了我的库以支持通过API设置被动监听器的手势对象,如下所示:this.on('touchstart.passive',this.startHandler,{reject:errorHandler})。我的库支持多种手势,设置多个监听器,有被动的也有非被动的。该库将确保最多只有一个真正的监听器将附加到DOM。所以我们最多可以有2个touchstart监听器,其中一个是被动的,另一个不是。我的问题是,我无法检测接收到的事件是否附加了{passive:true}选项。我认为我可以在native事件对象上使用cancela

  10. javascript - Angular 2 和被动听众 - 2

    我遇到了这个githttps://github.com/WICG/EventListenerOptions/blob/gh-pages/explainer.mdwith展示了开发人员如何通过添加“被动监听器”来提高滚动性能。我第一次看到它是在我的chrome向我显示警告时(确切的警告是“由于主线程正忙,‘touchstart’输入事件的处理被延迟了126毫秒。考虑将事件处理程序标记为‘被动’以使页面响应更快。").这看起来很容易实现,问题是大多数时候我不是附加监听器的人,angular2平台可以。当我点击带有(click)和动画统计数据的按钮时,我收到了这些警告。有没有办法将Angul

随机推荐