maltrail: Ανίχνευση κακόβουλης κυκλοφορίας δικτύου

Το Maltrail είναι ένα σύστημα ανίχνευσης κακόβουλης επισκεψιμότητας, που χρησιμοποιεί δημόσια διαθέσιμες λίστες που περιέχουν κακόβουλα ή γενικά ύποπτα «μονοπάτια», μαζί με στατικά ίχνη που συλλέγονται από διάφορες αναφορές AV και προσαρμοσμένες λίστες καθορισμένες από τον χρήστη, όπου το ίχνος μπορεί να είναι οτιδήποτε από το όνομα, διεύθυνση URL, διεύθυνση IP ή τιμή κεφαλίδας χρήστη και HTTP.

Επίσης, χρησιμοποιεί προηγμένους ευρετικούς μηχανισμούς που μπορούν να βοηθήσουν στην ανακάλυψη άγνωστων απειλών.

Αρχιτεκτονική

Το Maltrail βασίζεται στην ακολουθία -> Αισθητήρας <-> Διακομιστής <-> Αρχιτεκτονική πελάτη. Το Sensor (s) είναι ένα αυτόνομο στοιχείο που λειτουργεί στον κόμβο παρακολούθησης (π.χ. πλατφόρμα Linux που συνδέεται παθητικά στη θύρα SPAN / mirroring ή διαφανώς ενσωματωμένη σε γέφυρα Linux) ή στο αυτόνομο μηχάνημα (π.χ. Honeypot) όπου «παρακολουθεί» την κυκλοφορία που περνά για αντικείμενα / «μονοπάτια» black list (π.χ. ονόματα τομέα, διευθύνσεις URL ή / και IP).

Σε περίπτωση θετικής αντιστοίχισης, στέλνει τις λεπτομέρειες του συμβάντος στον (κεντρικό) διακομιστή όπου αποθηκεύονται μέσα στον κατάλληλο κατάλογο καταγραφής (δηλ. LOG_DIR που περιγράφεται στην ενότητα Διαμόρφωση).

  HackTools: Ένα all-in-one πρόσθετο για pentesters

Εάν ο αισθητήρας εκτελείται στον ίδιο υπολογιστή με τον διακομιστή (προεπιλεγμένη διαμόρφωση), τα αρχεία καταγραφής αποθηκεύονται απευθείας στον τοπικό κατάλογο καταγραφής. Διαφορετικά, αποστέλλονται μέσω μηνυμάτων UDP στον απομακρυσμένο διακομιστή (δηλ. LOG_SERVER που περιγράφεται στην ενότητα Διαμόρφωση).

Ο πρωταρχικός ρόλος του διακομιστή είναι η αποθήκευση των λεπτομερειών του συμβάντος και η παροχή υποστήριξης για την εφαρμογή αναφοράς ιστού. Στην προεπιλεγμένη διαμόρφωση, ο διακομιστής και ο αισθητήρας θα λειτουργούν στον ίδιο υπολογιστή.

Έτσι, για να αποφευχθούν πιθανές διακοπές στις δραστηριότητες του αισθητήρα, το τμήμα αναφοράς front-end βασίζεται στην αρχιτεκτονική “Fat client” (δηλ. Όλα τα δεδομένα μετά την επεξεργασία γίνονται μέσα στην παρουσία του προγράμματος περιήγησης ιστού του πελάτη).

Τα συμβάντα (δηλ. Καταχωρήσεις καταγραφής) για την επιλεγμένη περίοδο (24 ώρες) μεταφέρονται στον client, όπου η εφαρμογή αναφοράς ιστού είναι αποκλειστικά υπεύθυνη για το μέρος της παρουσίασης. Τα δεδομένα αποστέλλονται στον client σε συμπιεσμένα μέρη, όπου επεξεργάζονται διαδοχικά. Η τελική έκθεση δημιουργείται σε μια συμπυκνωμένη μορφή, επιτρέποντας ουσιαστικά την παρουσίαση του σχεδόν απεριόριστου αριθμού εκδηλώσεων.

  secureCodeBox: Συλλογή εργαλείων ελέγχου ασφαλείας

Εγκατάσταση

sudo apt-get install python python-pcapy git
git clone https://github.com/stamparm/maltrail.git

Στιγμιότυπα εφαρμογής

Πληροφορίες σχετικά με τη χρήση του προγράμματος, θα βρείτε εδώ.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  2  =  7