ivre/client

IVRE Docker镜像文档

镜像概述

IVRE（Instrument de veille sur les réseaux extérieurs，又称DRUNK）是一款网络侦察框架，该Docker镜像已预安装并配置IVRE及其依赖工具（包括Nmap、p0f、Zeek（原Bro）等），支持主动和被动网络侦察。主动侦察通过Nmap执行扫描并导入Nmap/Masscan的XML输出；被动侦察基于Zeek、Argus、Nfdump进行流量分析，同时支持导入ZGrab2、ZDNS的JSON输出。镜像旨在提供开箱即用的网络侦察环境，简化部署流程。

核心功能和特性

侦察能力

• 主动侦察：集成Nmap执行扫描，支持导入Nmap、Masscan的XML格式扫描结果
• 被动侦察：基于Zeek（原Bro）、Argus、Nfdump进行流量分析与日志解析
• 多源数据导入：支持ZGrab2（应用层扫描）、ZDNS（DNS扫描）的JSON输出导入

数据管理与存储

• 兼容多种数据库后端：MongoDB、Elasticsearch、PostgreSQL、TinyDB、SQLite
• 支持扫描结果持久化存储与历史数据查询

可视化与分析

• 内置Web界面，提供扫描结果可视化、漏洞趋势分析与网络资产映射
• 支持生成统计报告与网络拓扑图

其他特性

• 预配置p0f进行操作系统指纹识别
• 支持MaxMind地理IP数据库集成，提供IP地理位置分析
• 遵循GPLv3开源许可协议

使用场景和适用范围

适用场景

• 网络安全研究与漏洞挖掘
• 企业网络资产清点与监控
• 渗透测试中的目标信息收集
• 安全审计与合规性检查
• 威胁情报分析与网络态势感知

目标用户

• 网络安全研究员
• 渗透测试工程师
• 网络管理员
• 安全运营中心（SOC）分析师

使用方法和配置说明

基本运行命令

bash
docker run -d \
  --name ivre \
  -p 8080:80 \
  -v /path/to/local/data:/ivre/data \
  ivre/ivre

• -p 8080:80：映射Web界面端口（容器内80端口）
• -v /path/to/local/data:/ivre/data：挂载本地目录持久化存储扫描数据

环境变量配置

配置示例（Docker Compose）

yaml
version: '3'
services:
  ivre:
    image: ivre/ivre
    ports:
      - "8080:80"
    volumes:
      - ./ivre-data:/ivre/data
    environment:
      - DB_TYPE=elasticsearch
      - DB_HOST=elasticsearch
    depends_on:
      - elasticsearch

  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:7.14.0
    environment:
      - discovery.type=single-node
    volumes:
      - es-data:/usr/share/elasticsearch/data

volumes:
  es-data:
  ivre-data:

访问Web界面

启动容器后，通过http://localhost:8080访问IVRE Web界面，默认无需认证（生产环境建议配置访问控制）。

常用命令（容器内）

• 执行Nmap扫描并导入结果：ivre scancli --target 192.168.1.0/24 -oN scan.xml && ivre db import -t nmap scan.xml
• 更新IP地理信息数据库：ivre ipinfo --update
• 查看已发现的网络资产：ivre view hosts

文档与支持

• 官方文档：[***]
• GitHub仓库：https://github.com/ivre/ivre
• 社区支持：通过Gitter聊天室（[***] Issue获取帮助