恶意流量分析程序 xsec-traffic

未知
Google Go
跨平台
2019-05-05
红薯

xsec-traffic为一款轻量级的恶意流量分析程序,包括传感器sensor和服务端server 2个组件。

sensor

sensor负责采集流量,然后发到server端,由server来检测是否为恶意流量。

  1. sensor支持采集TCP和UDP的五元组信息
  2. 支持采集http请求信息
  3. 支持采集同一局域网中其他机器的以上信息

Server

server端的功能为接收各sensor采集到的流程并判断是否为恶意流量,其中:

  1. IP五元组信息是通过查询恶意IP库来判断的
  2. http请求数据的检测还在开发中(暂时会把所有取到的请求信息保存起来,理论上可支持检测所有来自WEB端的攻击类型,如注入、xss等)

使用说明

Server

server需要mongodb的支持,在启动前需要事先准备一个有读写权限的mongodb账户,然后修改当前目录下的配置文件conf/app.ini,样例如下:

HTTP_HOST = 108.61.223.105
HTTP_PORT = 4433

DEBUG_MODE = TRUE
SECRET_KEY = xsec_secret_key

[EVIL-IPS]
API_URL = "http://www.xsec.io:8000"

[database]
DB_TYPE = mongodb
DB_HOST = 127.0.0.1
DB_PORT = 27017
DB_USER = xsec-traffic
DB_PASS = 7160c452342340787fasdfa5b0a9fe0
DB_NAME = xsec-traffic
  1. HTTP_HOST和HTTP_PORT表示server端监听的地址及端口
  2. DEBUG_MODE表示以debug模式运行
  3. SECRET_KEY为sensor与server通讯用的密钥
  4. EVIL-IPS部分为恶意IP库的地址
  5. database部分为mongodb的配置

启动命令如下:

root@xsec:/data/golang/src/xsec-traffic/server# ./server 
[0000]  INFO xsec traffic server: DB Type: mongodb, Connect err status: <nil>
NAME:
   xsec traffic server - xsec traffic server

USAGE:
   server [global options] command [command options] [arguments...]

VERSION:
   20171210

AUTHOR:
   netxfly <x@xsec.io>

COMMANDS:
     serve    startup xsec traffic server
     help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d               debug mode
   --server value, -s value  http server address
   --port value, -p value    http port (default: 1024)
   --help, -h                show help
   --version, -v             print the version
root@xsec:/data/golang/src/xsec-traffic/server# ./server serve
[0000]  INFO xsec traffic server: DB Type: mongodb, Connect err status: <nil>
[0000]  INFO xsec traffic server: run server on 108.61.223.105:4433
  1. serve参数表示直接启动server服务器。

sensor

sensor端也支持配置,修改当前目前下的conf/app.ini即可,详细的配置项如下:

; Sensor global config
DEVICE_NAME = en0
DEBUG_MODE = true
FILTER_RULE = tcp udp

[server]
API_URL = http://108.61.223.105:4433
API_KEY = xsec_secret_key
  1. DEVICE_NAME表示需要采集流量的网卡名
  2. DEBUG_MODE为Debug模式,正式使用时可关掉
  3. FILTER_RULE为流量抓取规则,与wireshark的规则一致

sensor的命令行如下:

$ ./xsec_sensor
[0000]  INFO xsec traffic sensor: Device name:[en0], ip addr:[192.168.31.204], Debug mode:[true]
NAME:
   xsec traffic sensor - xsec traffic sensor, Support normal and arp spoof modes

USAGE:
   xsec_sensor [global options] command [command options] [arguments...]

VERSION:
   20171210

AUTHOR(S):
   netxfly <x@xsec.io>

COMMANDS:
     start    startup xsec traffic sensor
     arp      startup arp spoof mode
     help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d                debug mode
   --filter value, -f value   setting filters
   --length value, -l value   setting snapshot Length (default: 1024)
   --target value, -t value   target ip address
   --gateway value, -g value  gateway ip address
   --help, -h                 show help
   --version, -v              print the version
  1. start 表示直接只采集本地的流量
  2. arp模式为arpspoof模式,可以采集同一局域网下的其他机器的流量,详细的命令行如下:
sudo ./xsec_sensor arp -t 192.168.31.215 -g 192.168.31.1

在启动前需要安装libpcap库并将内核参数设为允许转发,以下为3种OS的安装、设置方法:

# OSX
sudo sysctl net.inet.ip.forwarding=1

# FreeBSD
sudo sysctl -w net.inet.ip.forwarding=1

# Linux
sudo sysctl -w net.ipv4.ip_forward=1

# Fedora
sudo dnf install -y libpcap-devel

# Debian/Ubuntu
sudo apt-get install -y libpcap-dev

# OSX
brew install libpcap

# FreeBSD
sudo pkg install libpcap

需要指定采集的目标与网关,其中采集的目标的语法与nmap的一致,支持以下几种写法:

10.0.0.1
10.0.0.0/24
10.0.0.*
10.0.0.1-10
10.0.0.1, 10.0.0.5-10, 192.168.1.*, 192.168.10.0/24

实战演练

  • 启动server端

  • 以正常模式启动sensor端

启动后可以看到我本地电脑的有道云音乐正在对外发包。

  • 在小米路由器中查到我Mix2手机的IP地址如下:

  • 将我的Mix2手机手工加到恶意IP库中

  • 以Arp模式启动,用电脑采集同一lan下Mix2手机的流量

  • 可以通过server的简易后台看到检测结果:

  • 以下为http 全部的请求记录,等检测功能开发完后会改为只记录疑似攻击的请求。

参考资料

  1. https://github.com/google/gopacket/
  2. https://github.com/malfunkt/arpfox
  3. http://www.devdungeon.com/content/packet-capture-injection-and-analysis-gopacket
的码云指数为
超过 的项目
加载中

评论(0)

暂无评论

暂无资讯

暂无问答

使用微软Traffic Manage---实验

使用 Microsoft Azure Traffic Manager 可以控制向指定的终结点(可能包括 Azure 云服务、网站和其他终结点)分配用户流量。Traffic Manager 的工作原理是将智能策略引擎应用到对 Internet 资...

2014/11/14 21:32
176
0
nagios check_traffic

1.下载软件包 http://nagios.sourceforge.net/download/contrib/misc/check_traffic/check_traffic-0.90b.tar.gz 安装net-snmp-libs和net-snmp-utils yum -y install net-snmp net-snmp-lib...

2010/06/29 19:13
2.1K
0
Android Traffic Statistics Inside

If you're going to write an application for calculating/aggregating traffic statistics for Android device, you should be aware of some peculiarities and issues. TrafficStats cla...

2013/03/14 21:42
403
0
nginx并发模型与traffic_server并发模型简单比较(转)

nginx并发模型: nginx 的进程模型采用的是prefork方式,预先分配的worker子进程数量由配置文件指定,默认为1,不超过1024。master主进程创建监听套接口,fork子进程以后,由worker进程监听客...

2013/09/16 16:21
2K
0
http://www.tigase.net/blog-entry/1mln-or-more-onli

By admin on May 29, 2011 I have been working on clustering code improvements in the Tigase server for last a few months to make it more reliable and better scale. In article abo...

2014/11/21 12:06
142
0
istio配置案例官方

--------------istio配置案例官方------------------------------------- 1.请求路由: bin/istioctl create -f samples/bookinfo/routing/route-rule-all-v1.yaml bin/istioctl replace -f...

2018/07/19 16:17
41
0
nagios流量监控报警

流量就是钱啊~不监控怎么行

2014/01/10 18:30
409
0
tcpdump-linux 网络运行情况查看

Options Basic Usage Examples Writing to a File Getting Creative Advanced [ NOTE: For more primers like this, check out my tutorial series. ] tcpdump is the premier network analy...

2016/09/21 13:44
51
0
2017-1019-1

Believe it or not, optical illusion (错觉) can cut highway crashes. Japan is a case in point. It has reduced automobile crashes on some roads by nearly 75 percent using a simpl...

2017/10/18 09:35
2
0
将jquery对象缓存

要养成将jquery对象缓存进变量的习惯. 永远不要这样做: $(‘#traffic_light input.on).bind(‘click‘, function(){…}); $(‘#traffic_light input.on).css(‘border’, ’3px dashed yell...

2012/12/07 16:41
1K
0

没有更多内容

加载失败,请刷新页面

返回顶部
顶部