IVRE (Instrument de veille sur les réseaux extérieurs) или DRUNK (Dynamic Recon для UNKnown сетей) – это фреймворк сетевой разведки, включающая в себя инструменты для пассивного сканирования (аналитика потоков с использованием Bro, Argus, Nfdump, анализ отпечатков пальцев на основе Bro и p0f и активная разведка (IVRE использует Nmap для запуска сканирования, может использовать ZMap в качестве предварительного сканера; IVRE также может импортировать вывод XML из Nmap и Masscan).
В настоящее время фреймворк поддерживает следующие функции:
- Сканирование и сниффинг – Nmap и Masscan включены для запуска сканирования во время тестирования на проникновение по подсети, всей стране или определенному диапазону IP-адресов. Он может использовать Zmap для быстрого предварительного сканирования и собирать информацию из сетевого трафика (пассивно), используя Bro, Argus, Nfdump & p0f.
- Браузер – используйте инструменты CLI, API-интерфейс Python или веб-интерфейс для просмотра результатов. Фильтрация, поиск определенных служб или уязвимых версий в конкретной стране или сети, быстрый доступ к предыдущим результатам для определенного хоста и т. Д.
- Анализ – максимально использует результаты сканирования, чтобы идентифицировать похожие хосты и типовые случаи. Сканирование на большинство (и наименьшее количество) общих портов, служб или продуктов и получение быстрого обзора адресного пространства с помощью «heatmap»
- Анализ потока – IVRE поставляется с удобным интерфейсом для просмотра сетевых потоков.
- Позволяет подсчитать количество открытых портов и число открытых портов на обнаруженной удаленной службе
Начните работу в кратчайшие сроки.
Благодаря Docker и Vagrant, запустить IVRE (почти) так же просто, как набрать vagrant up.
$ mkdir -m 1777 var_{lib,log}_mongodb ivre-share
$ wget -q https://ivre.rocks/Vagrantfile
$ vagrant up --no-parallel
Bringing machine 'ivredb' up with 'docker' provider...
Bringing machine 'ivreweb' up with 'docker' provider...
Bringing machine 'ivreclient' up with 'docker' provider...
[...]
$ docker attach ivreclient
root@e809cb41cb9a:/#
Если вы являетесь пользователем Arch Linux, есть пакет AUR, который легко установить: что-то вроде yay -S ivre ivre-web должно работать.
Если вы используете BlackArch Linux, IVRE должен быть установлен и работать из коробки.
Если нет, просто запустите: pacman -S ivre ivre-web.
IVRE также упакован в Pypi, и вы можете использовать Pip для его установки:
pip install ivre
В то время как пакеты AUR и Pypi создаются для каждого выпуска, образы Docker создаются автоматически из репозитория Github и следуют за версией разработки, как и пакеты AUR ivre-git.
Вы не хотите использовать Docker, Archlinux или Pip?
Документация включает в себя пошаговую процедуру установки, которую должно быть легко адаптировать к любой Linux / Unix-подобной системе.
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
