Maltrail – 恶意流量检测系统

华盟学院山东省第二期线下学习计划

项目首页:

https://github.com/stamparm/maltrail

项目简介:

maltrail是一个通过流量监测出恶意软件的程序,通过公开的含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文件名来判断是否遭受了恶意软件的感染。

目前已知的黑名单如下:

alienvault, autoshun, badips, bambenekconsultingc2, bambenekconsultingdga, binarydefense, bitcoinnodes, blocklist, botscout, bruteforceblocker, ..(省略若干)

恶意软件黑名单列表:

alureon, android_stealer, angler, aridviper, axpergle, babar, balamid, bamital, bankpatch,...(省略若干)

Maltrail的监控是基于一个sensor节点进行判断,列入通过旁路流量的监控或者直接在vpn服务器上进行部署,在监控通过的流量,然后再通过名单进行分析

Maltrail - 恶意流量检测系统

除了sensor节点还需要一个server,进行数据的存储,包括web端也在这里,通过server服务器可以查看所有的统计报表,默认配置中server和sensor在一台服务器上。

使用方法:

搭建Sensor

sudo apt-get install python-pcapy git clone https://github.com/stamparm/maltrail.git cd maltrail sudo python sensor.py

运行截图如下:

Maltrail - 恶意流量检测系统

搭建Server

[[ -d maltrail ]] || git clone https://github.com/stamparm/maltrail.git cd maltrail python server.py

Maltrail - 恶意流量检测系统

测试:

ping -c 1 136.161.101.53 (这是一台已知的恶意软件服务器) cat /var/log/maltrail/$(date +"%Y-%m-%d").log

再去访问Web即可看到访问这台恶意软件服务器的请求:

Maltrail - 恶意流量检测系统

文章出处:黑客工具箱

www.idc126.com

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论