文档章节

OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用

OSSIM
 OSSIM
发布于 2015/10/25 09:10
字数 1311
阅读 496
收藏 10

OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用


OSSIM不仅降低了大家涉足IDS的门槛,而且为各种复杂的应用提供了一种快捷的平台,其中核心技术之一就是基于插件的事件提取,系统内置的180插件,几乎囊括了各大硬件设备厂商和各种网络应用。下面对OSSIM3 下把一些不起眼的小工具组合起来,就能为你解决大问题。下面就对pads+p0f+arpwatch的使用进行简单说明。


  1. 工具介绍

     

    对于下面介绍的这些开源工具,在OSSIM中无需安装配置,你只要懂得如何应用就OK。

Arpwatch:这款工具主要功能是监听网络中的ARP记录,它可用来监控Linux上的以太网地址解析(MACIP地址的变化)。它在一段时间内,持续监控以太网活动并输出IPMAC地址配对变动的日志。对地址配对的增改发出警告,这对于检测网络上的ARP攻击非常有用,对于有时候临时上线服务器的检测也能及时发现。OSSIM中启用arpwatch插件实现主动检测,这样非常方便,只需要在检测插件中选择arpwatch即可,系统同就会为您自动安装并配置完毕,如下图所示。

wKioL1YgZVLhzsXQAADheK16MQ8180.jpg


 p0f:它是一款被动式的指纹识别工具,它通过分析网络通信识别远端的操作系统。

ossim31:~# p0f

p0f - passive os fingerprinting utility, version 2.0.8

(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>

p0f: listening (SYN) on 'eth0', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'.

192.168.11.2:51579 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.168.11.127:443 (link: ethernet/modem)

192.168.11.1:3538 - Linux 2.6, seldom 2.4 (older, 2) (up: 3221 hrs) 

  -> 192.168.11.21:21 (distance 0, link: ethernet/modem)

192.168.11.2:51586 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 61.135.189.216:80 (link: ethernet/modem)

192.168.11.1:3896 - Linux 2.6, seldom 2.4 (older, 2) (up: 3221 hrs) 

  -> 192.168.11.248:3389 (distance 0, link: ethernet/modem)

192.168.11.2:51588 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.229.145.200:443 (link: ethernet/modem)

192.168.11.2:51587 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.229.145.200:443 (link: ethernet/modem)

192.168.11.2:51589 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 61.240.129.78:80 (link: ethernet/modem)

... ...


 Pads:它属于被动资产检测系统,它的目的是检测资产的异常,比如服务异常。

ossim31:~#pads

pads - Passive Asset Detection System

v1.2- 06/17/05

Matt Shelton <matt@mattshelton.com>

[-] Processing Existing assets.csv

[-]Filter:  (null)

Warning: Kernel filter failed: Socket operation onnon-socket

[-] Listening on interface eth0

[*] Asset Found: Port - 443 / Host - 192.168.11.128 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 443 / Host - 192.168.11.127 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.97 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.5 / MAC Address - 0:D0:B7:E0:99:AE (IntelCorporation)

[*] Asset Found: Port - 80 / Host - 111.206.80.103 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.127 / MAC Address - 0:0C:29:CA:18:10

[*] Asset Found: Port - 80 / Host - 111.206.80.96 / Service - www / Application - nginx

[*] Asset Found: Port - 49993 / Host - 192.168.11.1 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 2869 / Host - 192.168.11.5 / Service - www / Application -Microsoft-HTTPAPI/2.0

[*] Asset Found: Port - 80 / Host - 111.206.80.101 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 111.206.37.178 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 123.125.80.77 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 61.135.186.213 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 111.206.80.99 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.129 / MAC Address - 0:0C:29:16:E8:82

[*] Asset Found: Port - 443 / Host - 192.168.11.129 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.102 / Service - www / Application - nginx


普通用户在通过这三款工具来解决问题时,总需要查阅大量命令输出和繁杂的日志,即便是这样还是免不了出现纰漏,

wKiom1YiPCyjUJgVAASRRe2xDHU132.jpg

除了查看上图中得日志文件,还有更好的解决方案?下面就让OSSIM来解决这些问题。

 

2.应 用


实验环境:OSSIM Server ossim31 


监控网段:    192.168.11.0/24

 

安装完OSSIM,打开WebUI,进入SIEM控制台,这时出现如下图所示的SIEM事件报警。

wKioL1YgZKuDV9aJAAODvE3WJM8286.jpg


wKiom1YgZLCwy_HzAALujXtZNQg729.jpg

点击第一条报警,查看pads详情,如下图所示:

wKioL1YgZNKj8iL5AALctMb2KB8312.jpg

一条发现新的OS报警,如下图所示。

wKiom1YgZN-Tdan_AAM09eV7Dvw220.jpg

点击这条记录,查看详情,如下图所示。

wKiom1YgZOCQt8mCAAKNQYqrVuU331.jpg

对于arpwatch的报警,如下图所示。

wKioL1YgZSHxkClsAAMvemrERGo265.jpg

下面看看有关ARP异常的报警

wKiom1Yk_DCga_EbAAGexnaExow649.jpg

3.事件分类

如果有成千上万条arpwatch,p0f以及pads事件,你怎么分析?先看一下OSSIM中的效果:

wKiom1YkR5vA-mTYAAIFnWPs9TE489.jpg

wKiom1YkR6vDB0l3AAK34XCLxYs665.jpgwKioL1YkR93QH70UAAEBRHsbMAo036.jpg

像这样分类之后,就可以从整体上分析这几类报警的类别及来源,点击每天事件,同样能查看到事件详情。


      看过这些表格,也许会觉得,比以前使用tcpdump、wireshark来获取ARP变换好用多啦!以后还会介绍更牛的工具。OSSIM3提供的这点功能,的确能为我们解决大问题,可这仅是个已过时的版本,目前已经发展到OSSIM5.2,我在新书还会为大家介绍更佳实用的功能。

© 著作权归作者所有

共有 人打赏支持
OSSIM

OSSIM

粉丝 142
博文 114
码字总数 150474
作品 0
朝阳
技术主管
OSSIM架构与组成综述

OSSIM架构与组成综述 OSSIM布道师 李晨光 一、背景 如果运维工程师手里没有高效的管理工具支持,就很难快速处理故障。市面上有很多运维监控工具,例如商业版的 Solarwinds、ManageEngine以及...

OSSIM
2016/01/28
5.6K
1
哪种监控工具才是运维人的最爱?

哪种监控工具才是运维人的最爱? 那些指标需要监控?我能监控到什么?能监控到何种程度?或许这些问题连你自己都难说清楚。先看看运维兄弟们的现状。 1.运维现状 传统企业的计算机运维是在用...

OSSIM
2015/10/08
1K
0
《开源安全运维平台OSSIM最佳实践》实验环境下载

《开源安全运维平台OSSIM最佳实践》实验环境下载 由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。 OSSIM开源安全交流QQ群: 179084574 经多年潜心研究开源技术,历时三年创...

李晨光
2015/07/28
0
0
《开源安全运维平台OSSIM最佳实践》

《开源安全运维平台-OSSIM最佳实践》2016年元月出版 经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用100多万字记录了作者10多年的OSSIM研究应...

OSSIM
2015/11/26
1K
0
Karma、Jasager与WiFiPineApple之间的关系

WiFiPineApple之所以从无数蜜罐中脱颖而出离不开其中的Karma技术,那Karma又是什么呢?另外Jasager又是什么?这篇文章我们一起来认识一下: 这里引用官网的介绍:http://wirelessdefence.or...

wf4745
2014/04/21
0
0

没有更多内容

加载失败,请刷新页面

加载更多

macOs-挂载能读写的NTFS硬盘

转自:https://nicklinyi.gitee.io/blog/2018/04/macOS-ntfs.html Mac本身是支持NTFS写入的,只是NTFS是微软开发,由于版权和技术细节原因,苹果不愿公开说自己支持NTFS写入,也是有自己以后...

北风刮的不认真了
15分钟前
1
0
Namespace 命名空间

命名空间可以定义为一种封装方式。 为了解决开发中库和程序中可重用类和方法问题: 1.解决 PHP内部方法类/方法/常量 或者第三方 类/方法/常量之间的命名冲突 2.能够简化为了防止命名冲突而给...

忙碌的小蜜蜂
18分钟前
0
0
CDH的坑之Deploy Client Configuration Failed

Deploy Client Configuration Failed 1.问题描述 当使用CDH增添spark服务的时候,出现了以下错误: Faile to deploy client configuration to the cluster. 具体如下图: 2.思路 网上查了...

星汉
19分钟前
1
0
java guava 集合的操作:交集、差集、并集

Guava:google的工程师利用传说中的“20%时间”开发的集合库,它是对jdk提供的扩展,提供了很多实用的类来简化代码。 开源地址:https://github.com/google/guava jar包下载:http://maven....

帅的不像男的
19分钟前
1
0
从八个层面比较分析 Java 8, RxJava, Reactor

响应式编程在单机环境下是否鸡肋? 结论是:没有结论,我觉得只能抱着怀疑的眼光审视这个问题了。另外还聊到了 RSocket 这个最近在 SpringOne 大会上比较火爆的响应式”新“网络协议,githu...

小刀爱编程
22分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部