IVRE中如何分析实时获取的数据包?

最新推荐文章于 2026-01-06 16:00:20 发布
原创 最新推荐文章于 2026-01-06 16:00:20 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ivre #数据包可视化

本文介绍如何在IVRE中分析实时获取的数据包,并通过动画形式展现主机间的通讯情况。主要包括Bro的安装、处理.pcap文件及使用bro2db工具导入数据到IVRE的过程。

IVRE中如何分析实时获取的数据包?

上一篇讲了怎么进行IVRE的搭建以及如何进行扫描,IVRE中有一个亮点是可以分析实时获取的数据包,展示出各个IP之间的连通关系,同时以动画的形式呈现出来,非常直观!是分析实时获取的数据包,不是说可以实时获取并分析数据包,至少现在还不能自动化的实时处理,中间还是要加上人为的工作。现在就说一下怎么操作的。

PS: 要是有哪位大牛知道怎么进行自动化的操作,小弟跪求告知,多谢~~

搭建环境: Ubuntu16.04 TLS

IVRE对数据的分析有两种方法,一种是基于bro,另一种是使用argus的log或者netflow的log,我采用的是第一种方法,因为argus的log我之前没有遇到过,而.pcap的文件因为wireshark的流行,我想大家都会知道一些,所以本文就主要讲述使用.pcap进行数据流向的分析。

IVRE可以将数据包中的主机之间的通讯情况使用动画的形式展示出来,具体可以这么干:

一、安装Bro

安装时不要在容器内安装,不过你也装不上。。。(我反正没装不上),在主机上安装:

linux@ubuntu:~#sudo apt-get install bro

安装完成后,先放这里,以备后用

二、处理.pcap的文件

我是使用的wireshark随便抓的包,让他自己抓个半个小时,然后保存起来,记得,在保存的时候虽然都是.pcap的,但是我测试过,但是还是选择“wireshark/tcpdump/… pcap”的格式才行,然后,放到ivre-share/文件夹内:

root@ubuntu:~# cp XXX.pcap ivre-share/

然后,使用bro对.pcap进行处理,生成一系列.log文件:

root@ubuntu:~# bro -r XXX.pcap

这里写图片描述

然后,进入到你的ivreclient中,执行:

root@ivreclient:/ivre-share# ivre bro2db ./*.log

执行完毕以后,没有回显,说明没问题,然后执行:

root@ivreclient:/ivre-share# ivre flowcli

你会看到一大堆的回显,都是扫到的IP地址,这说明你已经配置成功了!然后,打开你的浏览器,输入:

http://localhost:80/flow.html

稍等片刻就有结果产生了~~
这里写图片描述

(这是截图,其实是一个动画,你可以点击那个播放按钮,进行播放,有密集恐惧症的人,淡定一下。。。。。)

剩下的你就自己发挥吧~~

开源网络扫描框架IVRE的详细搭建过程
h4kMe的博客
04-12 4340
开源网络扫描框架IVRE的详细搭建过程这个框架本人搭建了好多次,唉,无奈功力尚浅,花了有段时间才完成搭建,现在分享给大家。先来简单介绍一下,IVRE是一个开源的网络扫描框架,可以进行扫描、嗅探,并将结果在浏览器中呈现出来,同时可以进行数据的简单分析,使用了很多开源的工具,比如Nmap、Bro、Argus、Nfdump、p0f、MongoDB等,我们可以使用这个框架完成对主机的嗅探,还可以在地图中展示
IVRE扫描并导入数据
星空下的约定
08-09 4509
IVRE扫描并导入数据通过docker装好的IVRE没有数据的,本文是导入一些扫描数据使IVRE看起来更好一点。对于IVRE,我也是刚开始折腾,可能折腾的并不深,这里只是记录我的一些感想和收获,如有问题或是错误,请大家及时指出,小弟将不胜感激。上一篇文章并没有介绍IVRE,其实IVRE是一个python缩写的开源框架,官网iv.re上有介绍。有关IVRE的中文文档并不多,小弟主要是从它的doc中查
实时抓包及分析
05-14
利用ethereal进行实时抓包,抓取整理了13种类型的包并进行分析
开源网络扫描框架-IVRE的详细搭建过程
aming小老弟
03-17 2338
[root@VM-8-9-centos ~]# uname -a Linux VM-8-9-centos 4.18.0-305.3.1.el8.x86_64 #1 SMP Tue Jun 1 16:14:33 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux cat /etc/redhat-release CentOS Linux release 8.2.2004 (Core) IVRE分为三个部分,ivre/web、ivre/db、ivre/client, 输入以下.
如何构建自主网络侦察框架:IVRE 终极指南 [特殊字符]️
最新发布
gitblog_00050的博客
01-06 548
想要掌握网络侦察技术,却担心依赖第三方服务的安全风险?IVRE 网络侦察框架正是你的完美解决方案!这个开源工具集让你能够建立完全自主控制的网络情报收集系统,替代Shodan、ZoomEye等商业服务。 ## 什么是IVRE网络侦察框架? IVRE(Intelligence, Vigilance, Reconnaissance, and Exploitation)是一个**动态网络侦察框架**,
ivre:网络侦察框架
02-02
IVRE IVRE(外部仪器)或DRUNK(未知网络的动态侦察)是一个网络侦察框架,包括用于被动侦察的工具(流分析依赖 , , 和主动侦察(IVRE使用来运行)扫描; IVRE也可以从Nmap和导入XML输出,从和导入JSON输出。 广告口号是: (以法语表示):IVRE,位于互联网上。 (英语):了解网络,获取DRUNK! 选择名称IVRE和DRUNK作为对“ Le Taullier”的致敬。 总览 您可以查看,和,以大致了解Web界面。 我们有一个演示实例,只需即可获得访问权限。 已经写了一些来展示IVRE的一些功能。 文献资料 由Read The Docs托管,基于存储库目录中的。 在IVRE Web服务器上,可以在/doc/下使用doc/*文件进行渲染。 在安装了IVRE的系统上,可以对大多数IVRE CLI工具使用--help选项,对于大多数IVRE Python子模块可以使用help(ivre.module) 。 执照 IVRE是免费软件:您可以根据自由软件基金会发布的GNU通用公共许可证的条款(许可证的版本3)或(可选)任何更高版本来重新分发和/或修改
一文包你学会网络数据抓包
qq_31716541的博客
05-31 3708
一文包你学会网络数据抓包
强大的开源网络侦查工具:IVRE
weixin_34275734的博客
11-28 261
IVRE简介 IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计。 网上已有部分文章对IVRE的使用做介绍,由于文章时间较早,IVRE的安装、命令执行等均有所改变,本文使用最新版IVRE做讲解,并增加部分其它文章未提及的Nmap模板参数设置、Web界面搜...
这10个技巧你都会?绝对算网络抓包高手!
01-16 2666
强大的Wireshark还是有招应对的,“统计”→“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。Wireshark中流量图工具,就可以帮助完成这个画图标注过程,打开抓包文件后,“统计”→“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。先画图,再将报文一个一个标注出来,然后对比标准协议交互过程来分析
源码安装IVRE
weixin_34362875的博客
12-13 381
简介:IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计,它包括一个旨在分析Nmap扫描结果的Web界面(因为它依赖于一个数据库,所以对于大型扫描来说,比像Zenmap这样的工具,Nmap GUI更有效率)。 想详细了解的可以去官网上看看:https...
cpp-IVRE又名DRUNK是一款开源的网络侦查框架工具
08-16
IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计。
通过Docker搭建开源版IVRE
lisuke
02-14 1500
通过Docker搭建开源版IVRE 时间 2016-01-06 11:13:01  FreeBuf 原文  http://www.freebuf.com/tools/92179.html 主题 Docker Linux命令 开源 * 原创作者:HackLiu 1  引言 1.1  编写目的 本文主要介绍开源IVRE项目的安装、部署和配置。目的是提供给I
IVRE-开源版shodan搭建、使用教程
co0ontty的博客
12-21 1635
环境: 基于docker的vagrant $co0ontty mkdir ivre $co0ontty cd ivre $co0ontty mkdir -m 1777 var_{lib,log}_{mongodb,neo4j} ivre-share $co0ontty wget -q https://ivre.rocks/Vagrantfile $co0ontty vagran...
Wireshark学习笔记——如何快速抓取HTTP数据包
热门推荐
物联网 IoT 经验分享
06-15 16万+
0.前言     在火狐浏览器和谷歌浏览器中可以非常方便的调试network(抓取HTTP数据包),但是在360系列浏览器(兼容模式或IE标准模式)中抓取HTTP数据包就不那么那么方便了。虽然也可使用HttpAnalyzer等工,但是毕竟都是收费软件。只需通过合适的过滤和操作,Wireshark也可抓取HTTP请求和响应。下面便说明具体操作。     假设在8080端口运行一个HTTP服务器,
IVRE扫描框架的docker部署
围城
08-16 1072
20200816 - 0. 引言 之前的时候,想弄一个类似shodan、fofa一样的扫描框架,然后在google上进行搜索,找到了ivre这个框架。但是在部署过程中,稍微有些不一致,这里记录一下。 本着方便的原则,这里利用docker来进行部署。 1. IVRE的docker化部署 1.1 IVRE IVRE是一款开源的扫描框架,其通过namp或其他扫描工具生成相应的结果,利用WEB界面对结果进行展示,并可以实现过滤,同时能够进行一些分析。其支持主动扫描,也支持被动监视。 Web界面的结果就是将nmap的
黑客-抓取数据包,并破解加密密码
猪也fine的博客
09-06 2万+
本文目的:抓取局域网内所有数据包,并获取数据包内密码,针对一些加密了的密码,进行解密工作,以此获取对方密码。之前我写过关于局域网内,使用arp欺骗,截取目标主机上网数据包。这是链接 http://blog.youkuaiyun.com/qq_35315699/article/details/74178872但是这个方法有点复杂,不易掌握,而且可能影响对方网速。这里有一个巧妙的方式。我是以寝室网作为实验场地
IP数据包分析实例
LearnboC的博客
05-10 5576
分析IP包,首先要知道IP包的包头格式,各种计算机网络的书籍都有介绍,必须了解该协议分析包才有意义,IPv4首部一般是20字节长,该协议如下:        下面使用Ethereal抓取一个特定的IP包,然后根据该协议分析该IP包。   使用Ethereal抓取的IP包如下:      我用不同的框框划分出来了,便于分析。   首先,开始的 6字节+ 6字节 + 2
深入了解IVRE:一个全面的网络侦察框架
2. 被动与主动侦察:被动侦察依赖于网络流量分析,而主动侦察则通过向目标发送数据包获取响应信息。 3. 数据整合:能够从Nmap和Zeek的输出文件中导入数据,这表明IVRE能够与市场上常用的网络分析工具无缝集成。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值