技术控

    今日:104| 主题:49431
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] Geoip可视化攻击图谱:打造专属的炫酷风

[复制链接]
哼着哼着就走调了 发表于 2016-11-28 07:37:03
59 1

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

Geoip可视化攻击图谱:打造专属的炫酷风-1 (下载地址,网络攻击,跟踪系统,服务器,表达式)


  Geoip可视化攻击图谱可以用于实时显示您正在遭受的网络攻击,它会跟踪系统日志文件,解析出日志里的源IP、目的IP、源端口和目的端口。
   介绍

   该工具的可视化机制会根据 常见端口进行细分,通过不同 的协议 类型进行颜色区别。 Geoip可视化攻击图谱 项目的诞生,需要特别感谢Sam Cappella。这位大牛在2015的Palmetto网络防御比赛中制作了一个可视化流量工具。笔者参考了他一部分代码,在构建展示服务器和web视觉界面时,也借用了部分函数。同时,笔者还得感谢Dylan Madisetti给了某些具体实现方面的建议。
   Github下载地址在  这里  。
  该项目对系统日志非常依赖,然而大家都知道,不同的应用会有不同的日志格式,所以你需要自行定制日志解析函数。但是,如果您的公司正在使用SIEM(记录安全信息和事件管理的)系统,你可能会省下大量编写正则表达式的时间。
  1. 将所有日志放进SIEM。
  2. 使用SIEM去格式化日志。
   3. 将处理后的日志发送给 geoip可视化攻击图谱 ,让DataServer来解析它。
  安装

  运行下面的命令,可以安装所有的依赖项(Ubuntu 14.04 x64下测试成功)
  [code]# sudo apt-get install python3-pip redis-server
# sudo pip3 install tornado tornado-redis redis maxminddb[/code]  设置

  1. 如果您打算把DataServer运行在其他机器上,可以把/etc/redis/redis.conf里面的默认配置,从bind 127.0.0.1更改为bind 0.0.0.0。
  2. /AttackMapServer/index.html里的WebSocket地址需要指向AttackMapServer的IP地址,这样浏览器才能正确识别。
  3. 下载MaxMind GeoLite2数据库,将DataServer.py里的db_path变量的值,更改为你存放数据库的地址。
  下载方式在这里:./db-dl.sh
  4. 将经纬度填入index.html里的hqLatLng变量。
  5. 需要的话,可以使用syslog-gen.sh模拟外部流量。
  6. 注意:这些代码只能在定制好解析函数后,才能在生产环境里正确运行。默认的解析函数只能解析./syslog-gen.sh产生的伪流量。
      * 参考来源: Github ,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)     
友荐云推荐




上一篇:ThreadLocal内存泄露
下一篇:ASP.NET Core应用中如何记录和查看日志
酷辣虫提示酷辣虫禁止发表任何与中华人民共和国法律有抵触的内容!所有内容由用户发布,并不代表酷辣虫的观点,酷辣虫无法对用户发布内容真实性提供任何的保证,请自行验证并承担风险与后果。如您有版权、违规等问题,请通过"联系我们"或"违规举报"告知我们处理。

从阳 发表于 7 天前
楼主,一路顺风!
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表手机版
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )|网站地图 酷辣虫

© 2001-2016 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表