开源版ZoomEye：基于Python的网络侦查框架 – IVRE

微信号：freebuf

IVRE（又名DRUNK）是一款网络侦查框架，包括两个基于p0f和Bro的被动侦查模块和一个基于Nmap&Zmap的主动侦查模块，其功能类似于国内知道创宇公司推出的一款网络空间搜索引擎ZoomEye（钟馗之眼）。

系统依赖

Python 2, version 2.6 minimum

the Crypto module

the pymongo module, version 2.7.2 minimum.

Nmap & ZMap

Bro & p0f

MongoDB, version 2.6 minimum

web服务器（在Apache、Nginx下测试通过）

web浏览器（在FireFox和Chromum下测试通过）

Maxmind GeoIP免费数据库

Tesseract（可选，可对Nmap扫描结果增加快照）

Docker & Vagrant (version 1.6 minimum，可选)

前端组件

AngularJS

Twitter Bootstrap

jQuery

D3.js

flag-icon-css

Passive recon

使用指南

被动侦查

1、使用Bro

如果你希望运行于eth0网口，你需要运行bro (2.3 minimum)并使用-b选项指向passiverecon.bro文件路径

# mkdir logs

# bro -b /usr/local/share/ivre/passiverecon/passiverecon.bro -i eth0

运行于抓包（PCAP）文件

$ mkdir logs

$ bro -b /usr/local/share/ivre/passiverecon/passiverecon.bro -r capture

指向log目录

$ passivereconworker –directory=logs

2、使用p0f

p0f 是继Nmap和Xprobe2之后又一款远程操作系统被动判别工具。P0f能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，即使是在系统上装有性能良好的防火墙的情况下也没有问题。P0f不增加任何直接或间接的网络负载，没有名称搜索、没有秘密探测、没有ARIN查询，什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等。

使用eth0