用OSSIM发现网络扫描

     网络扫描原本是用于网络资源管理。通过获取活动主机、开放服务、操作系统等关键信息的重要技术。扫描技术包括 Ping 扫描（确定哪些主机正在活动）、端口扫描（确定有哪些开放服务）、操作系统辨识（确定目标主机的操作系统类型）。详情参考《基于OSSIM平台的漏洞扫描详解》、《OSSIM中主动与被动探测工具（arpwatch+p0f+pads）组合应用》。
     这些扫描器在扫描时大多使用小包，这时想通过流量监控系统（Zabbix 等）发现扫描行为，是不容易实现的。需要使用入侵检测系统方可发现这种异常行为。
注意 ： 你或许可以通过扫描工具来获取本网段内主机的IP 跟MAC 地址的对应关系，如果跨网关就无法获取，因为ARP 包是无法跨越网段传输。


  在企业网环境里你可以通过网管软件中启用的SNMP 协议获取IP 和MAC 地址，但如果某台主机没有通过三层交换设备发送数据包，或者三层设备未开启三层交换功能，就无法获得这些信息。

1. 
   [font='Times New Roman']   抓包工具发现扫描行为
   
   
   

我们看一个正常时候的网络通信的截图


出现扫描的网络通信


发现区别了吧， 下面我们可以通过类似Tcpdump或Wireshark 这种抓包工具发现以nmap为实例的 扫描。
下面在Linux 主机上使用nmap 工具扫描Windows 主机端口的情况。


如果你换成 Sniffer Pro也有类似的界面。

网络管理者每天有多少时间来做这种枯燥乏味的工作？很显然利用这些工具发现扫描行为并不算一种好的解决方案。

2. 通过入侵检测系统发现扫描

OSSIM平台的Sensor里集成了Snort，无需人工之手，所有报警都自动完成， 下面仅举一个nmap 扫描检测snort 规则的例子来说明。


[font='Lucida Sans', sans-serif]”alert tcp $EXTERNAL_NET any -> $HOME_NET any”
[font='Lucida Sans', sans-serif]


以上报警都由系统自动完成。