IVRE

!Logo IVRE（Instrument de veille sur les réseaux extérieurs，外部网络监控工具）或DRUNK（Dynamic Recon of UNKnown networks，未知网络动态侦察）是一款网络侦察框架，包含被动侦察工具（基于Zeek、Argus、Nfdump的流量分析）和主动侦察工具（使用Nmap执行扫描，支持导入Nmap、Masscan的XML输出及ZGrab2、ZDNS的JSON输出）。

镜像概述和主要用途

IVRE旨在帮助用户对外部网络进行全面侦察，通过被动和主动两种方式收集网络信息。被动侦察依赖流量分析工具解析网络流量数据，主动侦察则通过扫描工具探测目标网络，支持多种主流扫描工具的输出导入，最终通过Web界面呈现侦察结果，适用于网络安全评估、外部网络监控和渗透测试等场景。

核心功能和特性

被动侦察

• 基于流量分析的被动信息收集，支持主流流量工具：
  • Zeek（前身为Bro）：网络流量分析框架
  • Argus：网络流量监控工具
  • Nfdump：网络流量数据处理工具

主动侦察

• 使用Nmap执行主动扫描
• 支持导入多种扫描工具输出：
  • Nmap和Masscan的XML格式结果
  • ZGrab2和ZDNS的JSON格式结果

数据存储与分析

支持多种数据库后端（通过测试验证）：

• MongoDB
• Elasticsearch
• PostgreSQL
• TinyDB
• SQLite

可视化与展示

提供Web界面，支持结果可视化，包含截图库和视频介绍，便于直观分析网络状况。

使用场景和适用范围

• 网络安全评估：对目标网络进行全面扫描，识别开放端口、服务及潜在漏洞
• 外部网络监控：持续跟踪外部网络变化，掌握网络拓扑和服务状态
• 渗透测试：作为前期侦察阶段工具，收集目标网络信息
• 安全研究：分析网络流量模式，研究网络攻击趋势

使用方法和配置说明

基本使用流程

1. 安装与部署：通过Docker镜像快速部署，或从源码安装
2. 数据导入：导入被动流量数据（Zeek、Argus等输出）或主动扫描结果（Nmap、Masscan等输出）
3. 数据分析：使用IVRE CLI工具或Web界面分析数据
4. 结果展示：通过Web界面查看可视化报告

Docker部署示例

拉取镜像

docker pull ivre/ivre

运行容器（基本示例）

docker run -d --name ivre \
  -p 80:80 \
  -v ./ivre-data:/data \
  ivre/ivre

配置数据库（以MongoDB为例）

# 启动MongoDB容器
docker run -d --name ivre-mongo -v mongo-data:/data/db mongo

# 连接IVRE容器配置数据库
docker exec -it ivre ivre dbinit

常用命令

• 初始化数据库：ivre dbinit
• 导入Nmap扫描结果：ivre scan2db -c MyScan nmap-results.xml
• 启动Web服务：ivre webserver

详细文档

完整使用文档请参考IVRE官方文档，或访问容器内Web界面的/doc/路径。

支持与贡献

• 支持：通过GitHub Issues或Gitter聊天获取帮助
• 贡献：欢迎提交代码PR，或提供扫描样本、流量捕获文件作为示例

引用信息

若在研究中使用IVRE，请按以下格式引用：

@MISC{ivre,
    title = {{IVRE}, a network recon framework},
    author={IVRE contributors},
    url = {[***]},
    howpublished = {\url{[***]}},
    institution = {{ANSSI}: 法国国家网络安全局 and {CEA}: 法国替代能源与原子能委员会},
    year = {2011--2021},
}