Maltrail – 恶意流量检测系统
项目首页:
https://github.com/stamparm/maltrail
项目简介:
maltrail是一个通过流量监测出恶意软件的程序,通过公开的含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文件名来判断是否遭受了恶意软件的感染。
目前已知的黑名单如下:
alienvault, autoshun, badips, bambenekconsultingc2, bambenekconsultingdga, binarydefense, bitcoinnodes, blocklist, botscout, bruteforceblocker, ..(省略若干)
恶意软件黑名单列表:
alureon, android_stealer, angler, aridviper, axpergle, babar, balamid, bamital, bankpatch,...(省略若干)
Maltrail的监控是基于一个sensor节点进行判断,列入通过旁路流量的监控或者直接在vpn服务器上进行部署,在监控通过的流量,然后再通过名单进行分析
除了sensor节点还需要一个server,进行数据的存储,包括web端也在这里,通过server服务器可以查看所有的统计报表,默认配置中server和sensor在一台服务器上。
使用方法:
搭建Sensor
sudo apt-get install python-pcapy git clone https://github.com/stamparm/maltrail.git cd maltrail sudo python sensor.py
运行截图如下:
搭建Server
[[ -d maltrail ]] || git clone https://github.com/stamparm/maltrail.git cd maltrail python server.py
测试:
ping -c 1 136.161.101.53 (这是一台已知的恶意软件服务器) cat /var/log/maltrail/$(date +"%Y-%m-%d").log
再去访问Web即可看到访问这台恶意软件服务器的请求:
文章出处:黑客工具箱