beholder是一款简洁而小巧的系统,主要作用是通过监控端口变化来发现企业内部的信息孤岛。例如:运维或开发新部署了一台机器未通知安全。没有采用masscan+nmap的组合进行检测,原因是在实际的使用中发现,虽然masscan可以提高扫描速度,但是漏报的情况太严重了。最终还是只使用nmap来进行探测。
系统由 beholder_scanner、 beholder_web 两个部分组成。这两个部分可以部署在一台机器上,也可以分开部署在不同的机器上。当前项目为 beholder_scanner部分。beholder_web部分可以查看这里
- beholder_scanner:对IP进行端口扫描、比较端口变化,可部署多个beholder_scanner来组成集群加快扫描速度。
- beholder_web:提供前端界面展示。
- 常规扫描:一次性的普通端口扫描任务
- 比较端口变化:用于比较两次扫描结果的端口变化
- 监控端口开放情况:一般用于监控IP是否开放高危端口,如开放则告警
- Linux
- Windows
总共有三种安装方式,分别是: