IVRE(又名DRUNK)是一款网络侦查框架,包括两个基于p0f和Bro的被动侦查模块和一个基于Nmap&Zmap的主动侦查模块,其功能类似于国内知道创宇公司推出的一款网络空间搜索引擎ZoomEye(钟馗之眼)。
系统依赖
Python 2, version 2.6 minimum the Crypto module the pymongo module, version 2.7.2 minimum. Nmap & ZMap Bro & p0f MongoDB, version 2.6 minimum web服务器(在Apache、Nginx下测试通过) web浏览器(在FireFox和Chromum下测试通过) Maxmind GeoIP免费数据库 Tesseract(可选,可对Nmap扫描结果增加快照) Docker & Vagrant (version 1.6 minimum,可选)
前端组件
AngularJS Twitter Bootstrap jQuery D3.js flag-icon-css Passive recon
使用指南
被动侦查
1、使用Bro
如果你希望运行于eth0网口,你需要运行bro (2.3 minimum)并使用-b选项指向passiverecon.bro文件路径
# mkdir logs # bro -b /usr/local/share/ivre/passiverecon/passiverecon.bro -i eth0
运行于抓包(PCAP)文件
$ mkdir logs $ bro -b /usr/local/share/ivre/passiverecon/passiverecon.bro -r capture
指向log目录
$ passivereconworker --directory=logs
2、使用p0f
p0f 是继Nmap和Xprobe2之后又一款远程操作系统被动判别工具。P0f能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。P0f不增加任何直接或间接的网络负载,没有名称搜索、没有秘密探测、没有ARIN查询,什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等。
使用eth0
# p0f2db -s passiverecon iface:eth0
使用抓包文件
$ p0f2db -s passiverecon capture
主动侦查
1、扫描
基本使用方法
# runscans --routable --limit 1000 --output=XMLFork
上面这条命令将对互联网上1000个随机主机进行标准扫描,开启13个nmap进程。
扫描结束后,将扫描结果导入数据库
$ nmap2db -c ROUTABLE-CAMPAIGN-001 -s MySource -r scans/ROUTABLE/up