溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
用OSSIM發現網絡掃描
網絡掃描原本是用于網絡資源管理。通過獲取活動主機、開放服務、操作系統等關鍵信息的重要技術。掃描技術包括Ping 掃描(確定哪些主機正在活動)、端口掃描(確定有哪些開放服務)、操作系統辨識(確定目標主機的操作系統類型)。詳情參考《基于OSSIM平臺的漏洞掃描詳解》、《OSSIM中主動與被動探測工具(arpwatch+p0f+pads)組合應用》。
這些掃描器在掃描時大多使用小包,這時想通過流量監控系統(Zabbix等)發現掃描行為,是不容易實現的。需要使用***檢測系統方可發現這種異常行為。
注意: 你或許可以通過掃描工具來獲取本網段內主機的IP跟MAC地址的對應關系,如果跨網關就無法獲取,因為ARP包是無法跨越網段傳輸。
在企業網環境里你可以通過網管軟件中啟用的SNMP協議獲取IP和MAC地址,但如果某臺主機沒有通過三層交換設備發送數據包,或者三層設備未開啟三層交換功能,就無法獲得這些信息。
抓包工具發現掃描行為
我們看一個正常時候的網絡通信的截圖
出現掃描的網絡通信
發現區別了吧,下面我們可以通過類似Tcpdump或Wireshark這種抓包工具發現以nmap為實例的掃描。
下面在Linux主機上使用nmap工具掃描Windows主機端口的情況。
如果你換成 Sniffer Pro也有類似的界面。
網絡管理者每天有多少時間來做這種枯燥乏味的工作?很顯然利用這些工具發現掃描行為并不算一種好的解決方案。
2. 通過***檢測系統發現掃描
OSSIM平臺的Sensor里集成了Snort,無需人工之手,所有報警都自動完成,下面僅舉一個nmap掃描檢測snort規則的例子來說明。
”alert tcp $EXTERNAL_NET any -> $HOME_NET any”
以上報警都由系統自動完成。
OSSIM課程:
http://edu.51cto.com/course/course_id-7616.html
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
