用OSSIM發(fā)現(xiàn)網(wǎng)絡(luò)掃描

用OSSIM發(fā)現(xiàn)網(wǎng)絡(luò)掃描

     網(wǎng)絡(luò)掃描原本是用于網(wǎng)絡(luò)資源管理。通過獲取活動主機、開放服務(wù)、操作系統(tǒng)等關(guān)鍵信息的重要技術(shù)。掃描技術(shù)包括Ping 掃描（確定哪些主機正在活動）、端口掃描（確定有哪些開放服務(wù)）、操作系統(tǒng)辨識（確定目標主機的操作系統(tǒng)類型）。詳情參考《基于OSSIM平臺的漏洞掃描詳解》、《OSSIM中主動與被動探測工具（arpwatch+p0f+pads）組合應(yīng)用》。

     這些掃描器在掃描時大多使用小包，這時想通過流量監(jiān)控系統(tǒng)（Zabbix等）發(fā)現(xiàn)掃描行為，是不容易實現(xiàn)的。需要使用***檢測系統(tǒng)方可發(fā)現(xiàn)這種異常行為。

注意： 你或許可以通過掃描工具來獲取本網(wǎng)段內(nèi)主機的IP跟MAC地址的對應(yīng)關(guān)系，如果跨網(wǎng)關(guān)就無法獲取，因為ARP包是無法跨越網(wǎng)段傳輸。

  在企業(yè)網(wǎng)環(huán)境里你可以通過網(wǎng)管軟件中啟用的SNMP協(xié)議獲取IP和MAC地址，但如果某臺主機沒有通過三層交換設(shè)備發(fā)送數(shù)據(jù)包，或者三層設(shè)備未開啟三層交換功能，就無法獲得這些信息。

1.    抓包工具發(fā)現(xiàn)掃描行為

   
   

我們看一個正常時候的網(wǎng)絡(luò)通信的截圖

出現(xiàn)掃描的網(wǎng)絡(luò)通信

發(fā)現(xiàn)區(qū)別了吧，下面我們可以通過類似Tcpdump或Wireshark這種抓包工具發(fā)現(xiàn)以nmap為實例的掃描。

下面在Linux主機上使用nmap工具掃描Windows主機端口的情況。

如果你換成 Sniffer Pro也有類似的界面。

網(wǎng)絡(luò)管理者每天有多少時間來做這種枯燥乏味的工作？很顯然利用這些工具發(fā)現(xiàn)掃描行為并不算一種好的解決方案。

2. 通過***檢測系統(tǒng)發(fā)現(xiàn)掃描

OSSIM平臺的Sensor里集成了Snort，無需人工之手，所有報警都自動完成，下面僅舉一個nmap掃描檢測snort規(guī)則的例子來說明。

”alert tcp $EXTERNAL_NET any -> $HOME_NET any”

以上報警都由系統(tǒng)自動完成。

OSSIM課程：

OSSIM典型應(yīng)用案例視頻課程(安裝、配置和開發(fā))

http://edu.51cto.com/course/course_id-7616.html