開源版ZoomEye：基于Python的網絡偵查框架 – IVRE

IVRE（又名DRUNK）是一款網絡偵查框架，包括兩個基于p0f和Bro的被動偵查模塊和一個基于Nmap&Zmap的主動偵查模塊，其功能類似于國內知道創宇公司推出的一款網絡空間搜索引擎ZoomEye（鐘馗之眼）。

系統依賴

Python 2, version 2.6 minimum
the Crypto module
the pymongo module, version 2.7.2 minimum.
Nmap & ZMap
Bro & p0f
MongoDB, version 2.6 minimum
web服務器（在Apache、Nginx下測試通過）
web瀏覽器（在FireFox和Chromum下測試通過）
Maxmind GeoIP免費數據庫
Tesseract（可選，可對Nmap掃描結果增加快照）
Docker & Vagrant (version 1.6 minimum，可選)

前端組件

AngularJS
推ter Bootstrap
jQuery
D3.js
flag-icon-css
Passive recon

使用指南

被動偵查

1、使用Bro

如果你希望運行于eth0網口，你需要運行bro (2.3 minimum)并使用-b選項指向passiverecon.bro文件路徑

# mkdir logs # bro -b /usr/local/share/ivre/passiverecon/passiverecon.bro -i eth0

運行于抓包（PCAP）文件

$ mkdir logs $ bro -b /usr/local/share/ivre/passiverecon/passiverecon.bro -r capture

指向log目錄

$ passivereconworker --directory=logs

2、使用p0f

p0f 是繼Nmap和Xprobe2之后又一款遠程操作系統被動判別工具。P0f能夠通過捕獲并分析目標主機發出的數據包來對主機上的操作系統進行鑒別，即使是在系統上裝有性能良好的防火墻的情況下也沒有問題。P0f不增加任何直接或間接的網絡負載，沒有名稱搜索、沒有秘密探測、沒有ARIN查詢，什么都沒有。某些高手還可以用P0f檢測出主機上是否有防火墻存在、是否有NAT、是否存在負載平衡器等。

使用eth0

# p0f2db -s passiverecon iface:eth0

使用抓包文件

$ p0f2db -s passiverecon capture

主動偵查

1、掃描

基本使用方法

# runscans --routable --limit 1000 --output=XMLFork

上面這條命令將對互聯網上1000個隨機主機進行標準掃描，開啟13個nmap進程。

掃描結束后，將掃描結果導入數據庫

$ nmap2db -c ROUTABLE-CAMPAIGN-001 -s MySource -r scans/ROUTABLE/up

下載地址