OSSIM中主動與被動探測工具（pads+pf0+arpwatch）組合應用

OSSIM中主動與被動探測工具（pads+pf0+arpwatch）組合應用

OSSIM不只下降了你們涉足IDS的門檻，並且爲各類複雜的應用提供了一種快捷的平臺，其中核心技術之一就是基於插件的事件提取，系統內置的180插件，幾乎囊括了各大硬件設備廠商和各類網絡應用。下面對OSSIM3 下把一些不起眼的小工具組合起來，就能爲你解決大問題。下面就對pads+p0f+arpwatch的使用進行簡單說明。

1. 工具介紹

    

   對於下面介紹的這些開源工具，在OSSIM中無需安裝配置，你只要懂得如何應用就OK。

Arpwatch:這款工具主要功能是監聽網絡中的ARP記錄，它可用來監控Linux上的以太網地址解析(MAC和IP地址的變化)。它在一段時間內，持續監控以太網活動並輸出IP和MAC地址配對變更的日誌。對地址配對的增改發出警告，這對於檢測網絡上的ARP攻擊很是有用，對於有時候臨時上線服務器的檢測也能及時發現。OSSIM中啓用arpwatch插件實現主動檢測，這樣很是方便，只須要在檢測插件中選擇arpwatch便可，系統同就會爲您自動安裝並配置完畢，以下圖所示。

 p0f：它是一款被動式的指紋識別工具,它經過分析網絡通訊識別遠端的操做系統。

ossim31:~# p0f

p0f - passive os fingerprinting utility, version 2.0.8

(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>

p0f: listening (SYN) on 'eth0', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'.

192.168.11.2:51579 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.168.11.127:443 (link: ethernet/modem)

192.168.11.1:3538 - Linux 2.6, seldom 2.4 (older, 2) (up: 3221 hrs) 

  -> 192.168.11.21:21 (distance 0, link: ethernet/modem)

192.168.11.2:51586 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 61.135.189.216:80 (link: ethernet/modem)

192.168.11.1:3896 - Linux 2.6, seldom 2.4 (older, 2) (up: 3221 hrs) 

  -> 192.168.11.248:3389 (distance 0, link: ethernet/modem)

192.168.11.2:51588 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.229.145.200:443 (link: ethernet/modem)

192.168.11.2:51587 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 192.229.145.200:443 (link: ethernet/modem)

192.168.11.2:51589 - UNKNOWN [8192:64:1:52:M1460,N,W2,N,N,S:.:?:?] 

  -> 61.240.129.78:80 (link: ethernet/modem)

... ...

 Pads：它屬於被動資產檢測系統，它的目的是檢測資產的異常，好比服務異常。

ossim31:~#pads

pads - Passive Asset Detection System

v1.2- 06/17/05

Matt Shelton <matt@mattshelton.com>

[-] Processing Existing assets.csv

[-]Filter:  (null)

Warning: Kernel filter failed: Socket operation onnon-socket

[-] Listening on interface eth0

[*] Asset Found: Port - 443 / Host - 192.168.11.128 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 443 / Host - 192.168.11.127 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.97 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.5 / MAC Address - 0:D0:B7:E0:99:AE (IntelCorporation)

[*] Asset Found: Port - 80 / Host - 111.206.80.103 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.127 / MAC Address - 0:0C:29:CA:18:10

[*] Asset Found: Port - 80 / Host - 111.206.80.96 / Service - www / Application - nginx

[*] Asset Found: Port - 49993 / Host - 192.168.11.1 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 2869 / Host - 192.168.11.5 / Service - www / Application -Microsoft-HTTPAPI/2.0

[*] Asset Found: Port - 80 / Host - 111.206.80.101 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 111.206.37.178 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 123.125.80.77 / Service - www / Application - nginx

[*] Asset Found: Port - 80 / Host - 61.135.186.213 / Service - www / Application -HTTP/1.1)

[*] Asset Found: Port - 80 / Host - 111.206.80.99 / Service - www / Application - nginx

[*] Asset Found: IP Address - 192.168.11.129 / MAC Address - 0:0C:29:16:E8:82

[*] Asset Found: Port - 443 / Host - 192.168.11.129 / Service - ssl / Application -Generic TLS 1.0 SSL

[*] Asset Found: Port - 80 / Host - 111.206.80.102 / Service - www / Application - nginx

普通用戶在經過這三款工具來解決問題時，總須要查閱大量命令輸出和繁雜的日誌，即使是這樣仍是免不了出現紕漏，

除了查看上圖中得日誌文件，還有更好的解決方案？下面就讓OSSIM來解決這些問題。

 

2.應 用

實驗環境：OSSIM Server： ossim31 

監控網段：    192.168.11.0/24

 

安裝完OSSIM，打開WebUI，進入SIEM控制檯，這時出現以下圖所示的SIEM事件報警。

點擊第一條報警，查看pads詳情，以下圖所示：

一條發現新的OS報警，以下圖所示。

點擊這條記錄，查看詳情，以下圖所示。

對於arpwatch的報警，以下圖所示。

下面看看有關ARP異常的報警

3.事件分類

若是有成千上萬條arpwatch,p0f以及pads事件，你怎麼分析？先看一下OSSIM中的效果：

像這樣分類以後，就能夠從總體上分析這幾類報警的類別及來源，點擊天天事件，一樣能查看到事件詳情。

      看過這些表格，也許會以爲，比之前使用tcpdump、wireshark來獲取ARP變換好用多啦！之後還會介紹更牛的工具。OSSIM3提供的這點功能，的確能爲咱們解決大問題，可這僅是個已過期的版本，目前已經發展到OSSIM5.2，我在新書還會爲你們介紹更佳實用的功能。