用OSSIM发现网络扫描

最新推荐文章于 2024-05-30 11:43:13 发布
最新推荐文章于 2024-05-30 11:43:13 发布
阅读量226 收藏
点赞数
文章标签: 操作系统 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33770878/article/details/85136420
版权

用OSSIM发现网络扫描


     网络扫描原本是用于网络资源管理。通过获取活动主机、开放服务、操作系统等关键信息的重要技术。扫描技术包括Ping 扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)。详情参考《基于OSSIM平台的漏洞扫描详解》、《OSSIM中主动与被动探测工具(arpwatch+p0f+pads)组合应用》。

     这些扫描器在扫描时大多使用小包,这时想通过流量监控系统(Zabbix等)发现扫描行为,是不容易实现的。需要使用***检测系统方可发现这种异常行为。

注意 你或许可以通过扫描工具来获取本网段内主机的IPMAC地址的对应关系,如果跨网关就无法获取,因为ARP包是无法跨越网段传输。


  在企业网环境里你可以通过网管软件中启用的SNMP协议获取IPMAC地址,但如果某台主机没有通过三层交换设备发送数据包,或者三层设备未开启三层交换功能,就无法获得这些信息。


  1.    抓包工具发现扫描行为


我们看一个正常时候的网络通信的截图


wKioL1gkJu3h5SxfAAC9i9mKsR4406.jpg-wh_50


出现扫描的网络通信


wKioL1gkJv6wSGHOAAGRWqi5b70912.jpg-wh_50


发现区别了吧,下面我们可以通过类似Tcpdump或Wireshark这种抓包工具发现以nmap为实例的扫描。

下面在Linux主机上使用nmap工具扫描Windows主机端口的情况。


wKioL1gkJ4DRTQ72AAKURiQWMWU596.jpg-wh_50


如果你换成 Sniffer Pro也有类似的界面。


wKiom1glKVqgOQuNAAH5n46X5qQ746.jpg-wh_50


网络管理者每天有多少时间来做这种枯燥乏味的工作?很显然利用这些工具发现扫描行为并不算一种好的解决方案。


2. 通过***检测系统发现扫描


OSSIM平台的Sensor里集成了Snort,无需人工之手,所有报警都自动完成,下面仅举一个nmap扫描检测snort规则的例子来说明。


”alert tcp $EXTERNAL_NET any -> $HOME_NET any”


wKiom1gkKKfgERedAAGeia_gUVk938.jpg

wKiom1gkKWvADXAAAAFuFuWbm4U066.jpg


以上报警都由系统自动完成。


OSSIM课程

OSSIM典型应用案例视频课程(安装、配置和开发)

http://edu.51cto.com/course/course_id-7616.html

weixin_33770878
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ossim监控mysql_基于OSSIM平台的漏洞扫描详解
weixin_39903375的博客
01-28 185
Ossim 中漏洞扫描详解Openvas是一套开源漏洞扫描系统,如果手动搭建需要复杂的过程,花费不少人力和时间成本,因为它是套免费的漏洞扫描系统,功能上不逊色于商业版的漏洞扫描器,受到不少用户的青睐,下表对比了NeXpose、RSAS和启明的漏洞扫描器的主要功能。有了以上背景之后,下文主要针对OSSIM平台下如何以图形化方式操作漏洞扫描的过程。准备工作:首先确保没有运行的扫描进程和任务扫描漏洞同时...
网络安全】OSSIM平台网络日志关联分析实战
HBohan的博客
04-25 4993
一、网络安全管理中面临的挑战 目前很多组织都已经拥有了防火墙、入侵检测、防病毒系统、网管软件,但是网络管理者在安全追根溯源及安全管理面临如下挑战: 1 .安全设备和网络应用产生的安全事件数量巨大,误报严重。一台IDS系统一天产生的安全事件数量近成千上万。通常99%的安全事件都是误报。真正有威胁的安全事件淹没于海量信息中难于识别。 安全事件之间存在的横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实现实时预测。一个攻击活动之后常常接着另一个攻击活动,前一个攻击活动为后
OSSIM安装使用教程(OSSIM-5.6.5)
ITSM/ITIL/网络安全/IT运维
11-05 2310
一、说明 1.1 相关概念说明 SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。 SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。 SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。 SOC,security operati...
ossim遥感处理软件源代码
05-05
开源的OSSIM软件源码,供搞遥感、GIS的同志参考 既然大家觉得有用,就再贡献些ossim文档。http://download.csdn.net/source/2013603
OSSIM4主要数据库及表分布
weixin_34208283的博客
10-03 121
OSSIM 4 主要数据库及表分布    从OSSIM数据库的表结构,大家可以了解资源的数据结构,了解OSSIM数据库结构对于二次开发的用户、数据库性能调优尤为重要,在表1中列出了Alienvault OSSIM 4.8版系统的数据库结构,在更高的OSSIM版本中数据库主要结构依然不变,仅供参考。表1alienvaut库 acl_assets、acl_entities、acl_entities_a...
开源安全运维平台OSSIM疑难解析:资源下载
binyanang3804的博客
08-23 881
1.《开源安全运维平台OSSIM疑难解析--入门篇》 我要试读 图书资源下载:http://box.ptpress.com.cn/y/978-7-115-50550-7 2.《开源安全运维平台OSSIM疑难解析--提高篇》 我要试读 图书资源下载:http://box.ptpress.com.cn/y/978-7-115-50647-4 OSSIM V5.0 安装镜像ISO文件 文件大小:7...
教你用Ossim平台检测网络的Shellcode***
weixin_34337265的博客
04-10 86
教你用Ossim平台检测网络的Shellcode***行为教程:http://www.tudou.com/programs/view/-hxTm0q1tDY/ 以下是视频截图:  更多视频内容:
OSSIM进行主机漏洞扫描(03)
小冯先生的博客
06-10 690
OSSIM进行主机漏洞扫描方式 按照如图选择,ENVIRONMENT–SCAN JOBS–NEW SCAN JOB进入新增页面 其中各选项含义如下 Job Name:扫描任务名称。 Select Sensor:扫描的嗅探器。 Profile:扫描的类型,包括Deep- Non destructive Full and Slow scan(深入)、Default-Non destructive ...
debian12网络静态ip配置-OSSIM 安全漏洞扫描系统平台
heike_Ch的博客
05-18 351
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
OSSIM浏览分析
07-10
OSSIM 开源安全信息管理系统,对开源软件产品进行集成,提供一种能够实现监控功能的基础平台。
OSSIM中文汉化版
03-06
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!!!
原创:Ossim在企业网络安全领域中的应用
05-17
Ossim在企业网络安全领域中的应用,原创PPT
ossim.zip_ossim_zip
09-20
os simulator for learning concepts
OSSIM中文汉化
11-30
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!
Linux - 磁盘的分区和挂载
weixin_45735487的博客
05-27 750
逻辑分区只能在拓展分区上划分,编号5-15。拓展分区编号1-4,拓展分区不能格式化。rescue 恢复分区,对于误删的分区进行恢复,语法: rescue 起始 结束。rm 删除分区,后接要删除的分区编号。(L) 在主分区和拓展分区划分完之后,默认提示划分逻辑分区。n 进行磁盘分区,这里会默认MBR标签。(p) msdos下,会默认选择先划分主分区。
操作系统 - 输入/输出(I/O)管理
qq_56815564的博客
05-27 983
1、设备的分类I/O设备是指**可以将数据输入计算机的外部设备,或者可以接收计算机输出数据的外部设备**按信息交换的单位分类块设备。信息交换以**数据块为单位,如磁盘、磁带等磁盘设备的基本特征是传输速率较高、可寻址,即对它可随机地读/写任意一块**字符设备。信息交换以**字符为单位,如交互式终端机、打印机等它们的基本特征是传输速率低、不可寻址,并且时常采用中断I/O方式**按设备的传输速率分类低速设备。传输速率仅为每秒几字节到数百字节,如键盘、鼠标等中速设备。
在linux服务器上使用tensorboard,错误记录
最新发布
wwwwzm的博客
05-30 464
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
操作系统】发展与分类(手工操作、批处理、分时操作、实时操作)
m0_61628700的博客
05-26 302
以时间片为单位轮流为各个用户/作业服务,各个用户可通过终端与计算机进行交互。计算机接收外部信息后及时处理,并要在严格时限内处理完事件,体现及时性和可靠性。引入脱机输入/输出技术,并由监督程序负责控制作业的输入输出。多道程序并发执行,共享计算机资源,利用率大幅提升。2.CPU等待手工操作,CPU利用不充分。硬实时操作系统——必须在严格时间内完成。缺点:用户响应时间长,没人机交换功能。软实时系统——能偶尔违反时间规定。手工操作阶段(此阶段无操作系统)批处理阶段(操作系统开始出现)优点:能优先响应紧急任务。
基于OSSIM平台的漏洞扫描详解
05-16
OSSIM(Open Source Security Information Management)是一个开源的安全信息管理平台,它...总之,基于OSSIM平台的漏洞扫描是一个非常强大的安全管理工具,可以帮助企业及时发现并修复系统漏洞,提高系统的安全性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值