简介
IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计。
IVRE官方网站:https://ivre.rocks
GitHub:https://github.com/cea-sec/ivre
安装
使用pip安装
pip3 install ivre
这里开始使用python3来安装
安装mongodb
数据库是必须要安装的,在ubunt上安装mongodb的方式可以参考如下链接:
https://docs.mongodb.com/manual/tutorial/install-mongodb-on-ubuntu/
大概的过程如下:
Import the public key used by the package management system.¶
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6
Create a list file for MongoDB.
echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list
操作系统是ubuntu 16.04LTS
Reload local package database
sudo apt-get update
Install the MongoDB packages.
sudo apt-get install -y mongodb-org
start mongodb
sudo service mongod start
configure
具体的配置方法可以参考如下链接:
https://github.com/cea-sec/ivre/blob/master/doc/INSTALL.md
可以只修改/etc/ivre.conf,增加如下内容:
GEOIP_PATH = "/usr/local/share/ivre/geoip/"
DB Creation
按照下面的步骤操作即可:
$ ivre scancli --init
This will remove any scan result in your database. Process ? [y/N] y
$ ivre ipinfo --init
This will remove any passive information in your database. Process ? [y/N] y
$ ivre ipdata --init
This will remove any country/AS information in your database. Process ? [y/N] y
# ivre runscansagentdb --init
This will remove any agent and/or scan in your database and files. Process ? [y/N] y
注意要配置上面的GEOIP_PATH,否则后两条命令执行失败
Get IP Data
# ivre ipdata --download
$ ivre ipdata --import-all --no-update-passive-db
到此理论上已经可用了,为了获得可视化的效果,下面配置web server
web server
docker版本的ivre已经配置好了web server, 拿来直接用就可以了。因为这里使用ubuntu配置的,需要自己修改配置文件。本地用的nginx作为web服务器。
修改配置文件
将如下连接的配置文件复制到/etc/nginx/sites-enabled里面重新启动nginx即可,注意不能和其他的server端口重复了。
https://github.com/cea-sec/ivre/blob/master/docker/web/nginx-default-site
这样配好之后可以打开页面了,但是看不到动态的数据。
配置fastcgi
安装fastcig
aptitude install fcgiwrap
config fastcgi
cp /usr/share/doc/fcgiwrap/examples/nginx.conf /etc/nginx/fcgiwrap.conf
至此基本上可以使用ivre的主动扫描功能了。按照如下两个步骤,就可以通过本地页面看到扫描结果了。
$ sudo ivre runscans --routable --limit 1000
完成之后执行如下命令:
$ ivre scan2db -c ROUTABLE,ROUTABLE-CAMPAIGN-001 -s MySource -r \
> scans/ROUTABLE/up
在页面上看到的结果如下:
安装过程中碰到的问题。
MacOS上的安装
MacOS和ubuntu的安装有一些差别。
mongodb和nginx可以通过brew来安装,nginx的配置文件安装好之后是放在/usr/local/share/etc/nginx目录下面的。这个熟悉MacOS系统的都知道。
这里重点说一下fcgiwrap的安装
MacOS下使用fcgiwrap
首先需要先安装fastcgi和fcgiwrap,这个通过brew就可以安装了,
brew install fcgiwrap.
安装好之后并不能直接用,需要做一些配置,可以参考如下的页面:
https://www.nginx.com/resources/wiki/start/topics/examples/fcgiwrap/
这里大概说一下步骤:
先创建一个perl脚本,内容如下:
#!/usr/bin/perl
use strict;
use warnings FATAL => qw( all );
use IO::Socket::UNIX;
my $bin_path = '/usr/local/bin/fcgiwrap';
my $socket_path = $ARGV[0] || '/tmp/cgi.sock';
my $num_children = $ARGV[1] || 1;
close STDIN;
unlink $socket_path;
my $socket = IO::Socket::UNIX->new(
Local => $socket_path,
Listen => 100,
);
die "Cannot create socket at $socket_path: $!\n" unless $socket;
for (1 .. $num_children) {
my $pid = fork;
die "Cannot fork: $!" unless defined $pid;
next if $pid;
exec $bin_path;
die "Failed to exec $bin_path: $!\n";
}
注意: 这里的my $bin_path = '/usr/local/bin/fcgiwrap';
要替换成实际的fcgiwrap程序的位置。另外my $socket_path = $ARGV[0] || '/tmp/cgi.sock';
中的/tm/cgi.sock要和前面配置的fastcgi的socket保持一致。
这样执行完上面的脚本之后会发现在/tmp目录下多了一个cgi.sock文件。这个就是一个unixsocket。
这个时候可能还是不能访问,打开nginx的日志会发现,cgi.sock没有权限,简单的方法就是将cgi.sock的权限修改成777.然后就OK了。
python版本号的问题
ivre中的geoiputils.py用了strip(b'/n')这样的字符,导致在python3中运行出错。使用python2.7运行是OK的。
使用nginx的问题
需要安装fastcgi, 不然不能获取到存储在数据库中的扫描结果。
后续打算
ivre其实就是一个扫描的框架,将一些扫描的消息进行可视化展示。因为没有安装neo4j,flow方面的可视化展示目前也做不了。后续还有一些简答的实验要做:
- 1 装上neo4j和bro,通过被动模式监控本机的流量。
- 2 实验更多ivre的主动扫描功能。