介绍
Maltrail是一个恶意流量检测系统,利用包含恶意和/或一般可疑跟踪的公共可用(黑色)列表,以及从各种报告和自定义用户定义列表中编译的静态跟踪,其中跟踪可以是来自域名的任何内容(例如,对于Banjori恶意软件,zvprsensinaix),URL(例如,xx/harsh02.exe用于已知的恶意可执行文件)、IP地址(例如,185.130.5.231用于已知的攻击者)或HTTP用户代理头值(例如,sqlmap用于自动SQL注入和数据库接管工具)。此外,它还使用(可选)高级启发式机制,可以帮助发现未知威胁(例如新的恶意软件)。
工作原理
Maltrail基于流量 -> 传感器 服务器 客户端体系结构。传感器是在监视节点上运行的独立组件(例如,被动地连接到SPAN /镜像端口的Linux平台,或者在Linux桥上透明地串联),或者在独立计算机(例如Honeypot)上运行,以“监视”通过的流量用于列入黑名单的项目/跟踪(即域名,URL和/或IP)。在肯定匹配的情况下,它将事件详细信息发送到(中央)服务器,事件详细信息存储在适当的日志目录中(即LOG_DIR在“ 配置”部分中进行了描述)。如果Sensor与服务器(默认配置)在同一台计算机上运行,日志直接存储在本地日志目录中。否则,它们将通过UDP消息发送到远程服务器(即LOG_SERVER在“ 配置”部分中描述)。
服务器的主要作用是存储事件详细信息,并为报告Web应用程序提供后端支持。在默认配置下,服务器和传感器将在同一台计算机上运行。因此,为防止传感器活动中的潜在中断,前端报告部分基于“胖客户端”架构(即所有数据后处理均在客户端的Web浏览器实例内进行)。在选定的(24h)期间内的事件(即日志条目)被传输到客户端,其中报告Web应用程序仅负责演示部分。数据以压缩块的形式发送给客户端,然后按顺序进行处理。最终报告以高度压缩的形式创建,实际上允许呈现几乎无限数量的事件。
注意:可以完全跳过服务器组件,只需使用独立的Sensor即可。在这种情况下,所有事件都将存储在本地日志目录中,而日志条目则可以手动或通过某些CSV阅读应用程序进行检查。
快速开始
以下命令集将使您的Maltrail Sensor正常运行(开箱即用的默认设置和监视界面“ any”):
sudo apt-get install git python-pcapy
git clone github.com/stamparm/maltrail.git
cd maltrail
sudo python sensor.py
要在同一台计算机上启动(可选)服务器,请打开一个新终端并执行以下操作:
[[ -d maltrail ]] || git clone github.com/stamparm/maltrail.git
cd maltrail
python server.py
要测试一切正常并运行,请执行以下操作:
ping -c 1 136.161.101.53
cat /var/log/maltrail/$(date +"%Y-%m-%d").log
另外,要测试捕获DNS流量,您可以尝试以下操作:
nslookup morphed.ru
cat /var/log/maltrail/$(date +"%Y-%m-%d").log
更多使用方法可以查看官方文档
开源地址:
github.com/stamparm/maltrail/
更多更优质的资讯,请关注我,你的支持会鼓励我不断分享更多更好的优质文章。
閱讀更多 星集 的文章
