電子發(fā)燒友App

硬聲App

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示
      創(chuàng)作
      電子發(fā)燒友網(wǎng)>電子資料下載>電子資料>xsec-traffic惡意流量分析程序

      xsec-traffic惡意流量分析程序

      2022-05-07 | zip | 0.04 MB | 次下載 | 2積分

      資料介紹

      授權(quán)協(xié)議 未知
      開發(fā)語言 Google Go
      軟件類型 開源軟件

      軟件簡介

      xsec-traffic為一款輕量級的惡意流量分析程序,包括傳感器sensor和服務(wù)端server 2個組件。

      sensor

      sensor負責采集流量,然后發(fā)到server端,由server來檢測是否為惡意流量。

      1. sensor支持采集TCP和UDP的五元組信息
      2. 支持采集http請求信息
      3. 支持采集同一局域網(wǎng)中其他機器的以上信息

      Server

      server端的功能為接收各sensor采集到的流程并判斷是否為惡意流量,其中:

      1. IP五元組信息是通過查詢惡意IP庫來判斷的
      2. http請求數(shù)據(jù)的檢測還在開發(fā)中(暫時會把所有取到的請求信息保存起來,理論上可支持檢測所有來自WEB端的攻擊類型,如注入、xss等)

      使用說明

      Server

      server需要mongodb的支持,在啟動前需要事先準備一個有讀寫權(quán)限的mongodb賬戶,然后修改當前目錄下的配置文件conf/app.ini,樣例如下:

      HTTP_HOST = 108.61.223.105
HTTP_PORT = 4433

DEBUG_MODE = TRUE
SECRET_KEY = xsec_secret_key

[EVIL-IPS]
API_URL = "http://www.xsec.io:8000"

[database]
DB_TYPE = mongodb
DB_HOST = 127.0.0.1
DB_PORT = 27017
DB_USER = xsec-traffic
DB_PASS = 7160c452342340787fasdfa5b0a9fe0
DB_NAME = xsec-traffic
      1. HTTP_HOST和HTTP_PORT表示server端監(jiān)聽的地址及端口
      2. DEBUG_MODE表示以debug模式運行
      3. SECRET_KEY為sensor與server通訊用的密鑰
      4. EVIL-IPS部分為惡意IP庫的地址
      5. database部分為mongodb的配置

      啟動命令如下:

      root@xsec:/data/golang/src/xsec-traffic/server# ./server 
[0000]  INFO xsec traffic server: DB Type: mongodb, Connect err status: 
NAME:
   xsec traffic server - xsec traffic server

USAGE:
   server [global options] command [command options] [arguments...]

VERSION:
   20171210

AUTHOR:
   netxfly 

COMMANDS:
     serve    startup xsec traffic server
     help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d               debug mode
   --server value, -s value  http server address
   --port value, -p value    http port (default: 1024)
   --help, -h                show help
   --version, -v             print the version
root@xsec:/data/golang/src/xsec-traffic/server# ./server serve
[0000]  INFO xsec traffic server: DB Type: mongodb, Connect err status: 
[0000]  INFO xsec traffic server: run server on 108.61.223.105:4433
      1. serve參數(shù)表示直接啟動server服務(wù)器。

      sensor

      sensor端也支持配置,修改當前目前下的conf/app.ini即可,詳細的配置項如下:

      ; Sensor global config
DEVICE_NAME = en0
DEBUG_MODE = true
FILTER_RULE = tcp udp

[server]
API_URL = http://108.61.223.105:4433
API_KEY = xsec_secret_key
      1. DEVICE_NAME表示需要采集流量的網(wǎng)卡名
      2. DEBUG_MODE為Debug模式,正式使用時可關(guān)掉
      3. FILTER_RULE為流量抓取規(guī)則,與wireshark的規(guī)則一致

      sensor的命令行如下:

      $ ./xsec_sensor
[0000]  INFO xsec traffic sensor: Device name:[en0], ip addr:[192.168.31.204], Debug mode:[true]
NAME:
   xsec traffic sensor - xsec traffic sensor, Support normal and arp spoof modes

USAGE:
   xsec_sensor [global options] command [command options] [arguments...]

VERSION:
   20171210

AUTHOR(S):
   netxfly 

COMMANDS:
     start    startup xsec traffic sensor
     arp      startup arp spoof mode
     help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d                debug mode
   --filter value, -f value   setting filters
   --length value, -l value   setting snapshot Length (default: 1024)
   --target value, -t value   target ip address
   --gateway value, -g value  gateway ip address
   --help, -h                 show help
   --version, -v              print the version
      1. start 表示直接只采集本地的流量
      2. arp模式為arpspoof模式,可以采集同一局域網(wǎng)下的其他機器的流量,詳細的命令行如下:
      sudo ./xsec_sensor arp -t 192.168.31.215 -g 192.168.31.1

      在啟動前需要安裝libpcap庫并將內(nèi)核參數(shù)設(shè)為允許轉(zhuǎn)發(fā),以下為3種OS的安裝、設(shè)置方法:

      # OSX
sudo sysctl net.inet.ip.forwarding=1

# FreeBSD
sudo sysctl -w net.inet.ip.forwarding=1

# Linux
sudo sysctl -w net.ipv4.ip_forward=1

# Fedora
sudo dnf install -y libpcap-devel

# Debian/Ubuntu
sudo apt-get install -y libpcap-dev

# OSX
brew install libpcap

# FreeBSD
sudo pkg install libpcap

      需要指定采集的目標與網(wǎng)關(guān),其中采集的目標的語法與nmap的一致,支持以下幾種寫法:

      10.0.0.1
10.0.0.0/24
10.0.0.*
10.0.0.1-10
10.0.0.1, 10.0.0.5-10, 192.168.1.*, 192.168.10.0/24

      實戰(zhàn)演練

      • 啟動server端

      pYYBAGJnq62AfaPLAAGHU5XkPk0415.jpg

      • 以正常模式啟動sensor端

      pYYBAGJnq7CAMFU4ABH-AzYMcd4675.jpg

      啟動后可以看到我本地電腦的有道云音樂正在對外發(fā)包。

      • 在小米路由器中查到我Mix2手機的IP地址如下:

      pYYBAGJnq7KAYmpMAAH9D9kayC8742.jpg

      • 將我的Mix2手機手工加到惡意IP庫中

      pYYBAGJnq7SADAz-AAn-UnefJoM079.jpg

      • 以Arp模式啟動,用電腦采集同一lan下Mix2手機的流量

      poYBAGJnq7eAIvwbABbko_xNkuc513.jpg

      • 可以通過server的簡易后臺看到檢測結(jié)果:

      pYYBAGJnq7mAFCrxAAQCrElIois317.jpg

      • 以下為http 全部的請求記錄,等檢測功能開發(fā)完后會改為只記錄疑似攻擊的請求。

      pYYBAGJnq7uAWDMgAARAormlUyc471.jpg

      參考資料

      1. https://github.com/google/gopacket/
      2. https://github.com/malfunkt/arpfox
      3. http://www.devdungeon.com/content/packet-capture-injection-and-analysis-gopacket
      ?

      下載該資料的人也在下載 下載該資料的人還在閱讀
      更多 >

      評論

      查看更多

      下載排行

      本周

      1. 1山景DSP芯片AP8248A2數(shù)據(jù)手冊
      2. 1.06 MB  |  532次下載  |  免費
      3. 2RK3399完整板原理圖(支持平板,盒子VR)
      4. 3.28 MB  |  339次下載  |  免費
      5. 3TC358743XBG評估板參考手冊
      6. 1.36 MB  |  330次下載  |  免費
      7. 4DFM軟件使用教程
      8. 0.84 MB  |  295次下載  |  免費
      9. 5元宇宙深度解析—未來的未來-風口還是泡沫
      10. 6.40 MB  |  227次下載  |  免費
      11. 6迪文DGUS開發(fā)指南
      12. 31.67 MB  |  194次下載  |  免費
      13. 7元宇宙底層硬件系列報告
      14. 13.42 MB  |  182次下載  |  免費
      15. 8FP5207XR-G1中文應(yīng)用手冊
      16. 1.09 MB  |  178次下載  |  免費

      本月

      1. 1OrCAD10.5下載OrCAD10.5中文版軟件
      2. 0.00 MB  |  234315次下載  |  免費
      3. 2555集成電路應(yīng)用800例(新編版)
      4. 0.00 MB  |  33566次下載  |  免費
      5. 3接口電路圖大全
      6. 未知  |  30323次下載  |  免費
      7. 4開關(guān)電源設(shè)計實例指南
      8. 未知  |  21549次下載  |  免費
      9. 5電氣工程師手冊免費下載(新編第二版pdf電子書)
      10. 0.00 MB  |  15349次下載  |  免費
      11. 6數(shù)字電路基礎(chǔ)pdf(下載)
      12. 未知  |  13750次下載  |  免費
      13. 7電子制作實例集錦 下載
      14. 未知  |  8113次下載  |  免費
      15. 8《LED驅(qū)動電路設(shè)計》 溫德爾著
      16. 0.00 MB  |  6656次下載  |  免費

      總榜

      1. 1matlab軟件下載入口
      2. 未知  |  935054次下載  |  免費
      3. 2protel99se軟件下載(可英文版轉(zhuǎn)中文版)
      4. 78.1 MB  |  537798次下載  |  免費
      5. 3MATLAB 7.1 下載 (含軟件介紹)
      6. 未知  |  420027次下載  |  免費
      7. 4OrCAD10.5下載OrCAD10.5中文版軟件
      8. 0.00 MB  |  234315次下載  |  免費
      9. 5Altium DXP2002下載入口
      10. 未知  |  233046次下載  |  免費
      11. 6電路仿真軟件multisim 10.0免費下載
      12. 340992  |  191187次下載  |  免費
      13. 7十天學會AVR單片機與C語言視頻教程 下載
      14. 158M  |  183279次下載  |  免費
      15. 8proe5.0野火版下載(中文版免費下載)
      16. 未知  |  138040次下載  |  免費