请选择 进入手机版 | 继续访问电脑版

技术控

    今日:50| 主题:54631
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] Geoip可视化攻击图谱:打造专属的炫酷风

[复制链接]
哼着哼着就走调了 发表于 16-11-28 07:37:03
175 1

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

Geoip可视化攻击图谱:打造专属的炫酷风

Geoip可视化攻击图谱:打造专属的炫酷风-1-技术控-下载地址,网络攻击,跟踪系统,服务器,表达式


  Geoip可视化攻击图谱可以用于实时显示您正在遭受的网络攻击,它会跟踪系统日志文件,解析出日志里的源IP、目的IP、源端口和目的端口。
   介绍

   该工具的可视化机制会根据 常见端口进行细分,通过不同 的协议 类型进行颜色区别。 Geoip可视化攻击图谱 项目的诞生,需要特别感谢Sam Cappella。这位大牛在2015的Palmetto网络防御比赛中制作了一个可视化流量工具。笔者参考了他一部分代码,在构建展示服务器和web视觉界面时,也借用了部分函数。同时,笔者还得感谢Dylan Madisetti给了某些具体实现方面的建议。
   Github下载地址在  这里  。
  该项目对系统日志非常依赖,然而大家都知道,不同的应用会有不同的日志格式,所以你需要自行定制日志解析函数。但是,如果您的公司正在使用SIEM(记录安全信息和事件管理的)系统,你可能会省下大量编写正则表达式的时间。
  1. 将所有日志放进SIEM。
  2. 使用SIEM去格式化日志。
   3. 将处理后的日志发送给 geoip可视化攻击图谱 ,让DataServer来解析它。
  安装

  运行下面的命令,可以安装所有的依赖项(Ubuntu 14.04 x64下测试成功)
  1. # sudo apt-get install python3-pip redis-server
  2. # sudo pip3 install tornado tornado-redis redis maxminddb
复制代码
设置

  1. 如果您打算把DataServer运行在其他机器上,可以把/etc/redis/redis.conf里面的默认配置,从bind 127.0.0.1更改为bind 0.0.0.0。
  2. /AttackMapServer/index.html里的WebSocket地址需要指向AttackMapServer的IP地址,这样浏览器才能正确识别。
  3. 下载MaxMind GeoLite2数据库,将DataServer.py里的db_path变量的值,更改为你存放数据库的地址。
  下载方式在这里:./db-dl.sh
  4. 将经纬度填入index.html里的hqLatLng变量。
  5. 需要的话,可以使用syslog-gen.sh模拟外部流量。
  6. 注意:这些代码只能在定制好解析函数后,才能在生产环境里正确运行。默认的解析函数只能解析./syslog-gen.sh产生的伪流量。
      * 参考来源: Github ,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)     



上一篇:ThreadLocal内存泄露
下一篇:ASP.NET Core应用中如何记录和查看日志
从阳 发表于 16-12-2 11:04:50
楼主,一路顺风!
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读


回页顶回复上一篇下一篇回列表
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )

© 2001-2017 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表