IVRE (Instrument de veille sur les réseaux extérieurs), также известный как DRUNK (Dynamic Recon of UNKnown networks), представляет собой фреймворк с открытым исходным кодом для сетевой разведки, написанный на Python с бэкэндом MongoDB.
Он имеет инструменты для пассивной разведки (аналитика потока, основанная на Bro, Argus, Nfdump, аналитика отпечатков пальцев на основе Bro и p0f) и активной разведки (IVRE использует Nmap для запуска сканирования, может использовать ZMap в качестве предварительного сканера; IVRE также может импортировать XML вывод из Nmap и Masscan).
Требования:
- Python 2 (минимум версии 2.6) или 3 (минимум версии 3.3). Совместимость с Python 2.6 важна для обеспечения работы IVRE с RHEL и CentOS версии 6.
- модуль Crypto.
- модуль pymongo, минимум версии 2.7.2.
- опционально PIL, чтобы обрезать скриншоты.
- необязательно py2neo для использования модуля потока, минимум версии 3.
- необязательно sqlalchemy и psycopg2 для использования экспериментального бэкэнда PostgreSQL.
- Минимальная версия Nmap 7.25BETA2 (фактически, более ранние версии можно использовать, установив для script_timeout значение None в каждом шаблоне сканирования).
- опционально ZMap и / или Masscan
- Bro (версия минимум 2.3), Argus, Nfdump & p0f (версия 2, не будет работать с версией 3) для пассивных модулей отпечатков пальцев и потоковых модулей.
- MongoDB, минимум версии 2.6 (тесты выполняются с версиями 2.6.12, 3.0.15, 3.2.18, 3.4.10, 3.6.2 и 3.7.1).
- опционально Neo4j для модуля потока.
- опционально PostgreSQL, минимум версии 9.5 (тесты выполняются с версиями 9.5.10, 9.6.6 и 10.1) для экспериментальной серверной части PostgreSQL.
- веб-сервер (успешно протестирован с Apache и Nginx, должен работать со всем, что может обслуживать статические файлы и запускать CGI на основе Python), хотя тестовый веб-сервер распространяется с IVRE (ivre httpd).
- «Докувики» или другая Wiki для использования в качестве блокнота. «Докувики» также можно использовать для отображения документации.
- веб-браузер (успешно протестирован с последними версиями Firefox и Chromium).
- Бесплатные базы данных Maxmind GeoIP.
- опционально Tesseract, если вы планируете добавлять скриншоты к результатам сканирования Nmap.
- опционально Docker & Vagrant (минимум версии 1.6).