OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用
OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用 OSSIM 不仅降低了大家涉足 IDS 的门槛,而且为各种复杂的应用提供了一种快捷的平台,其中核心技术之一就是基于插件的事件提取,系统内置的 180 插件,几乎囊括了各大硬件设备厂商和各种网络应用。下面对 OSSIM3 下把一些不起眼的小工具组合起来,就能为你解决大问题。下面就对pads+p0f+ arpwatch的使用 进行简单说明。 工具介绍 对于下面介绍的这些开源工具,在OSSIM中无需安装配置,你只要懂得如何应用就OK。 Arpwatch: 这款工具主要功能是监听网络中的 ARP 记录,它可用来监控 Linux 上的以太网地址解析 (MAC 和 IP 地址的变化 ) 。它在一段时间内,持续监控以太网活动并输出 IP 和 MAC 地址配对变动的日志。对地址配对的增改发出警告,这对于检测网络上的 ARP 攻击非常有用,对于有时候临时上线服务器的检测也能及时发现。 OSSIM 中启用 arpwatch插件实现主动检测,这样 非常方便,只需要在检测插件中选择 arpwatch 即可,系统同就会为您自动安装并配置完毕, 如下图所示。 p0f: 它是 一款被动式的指纹识别工具,它通过分析网络通信识别远端的操作系统。 ossim31:~# p0f p0f - passive os fingerprinting