Geoip可视化攻击图谱：打造专属的炫酷风

Geoip可视化攻击图谱可以用于实时显示您正在遭受的网络攻击，它会跟踪系统日志文件，解析出日志里的源IP、目的IP、源端口和目的端口。

介绍

该工具的可视化机制会根据常见端口进行细分，通过不同的协议类型进行颜色区别。Geoip可视化攻击图谱项目的诞生，需要特别感谢Sam Cappella。这位大牛在2015的Palmetto网络防御比赛中制作了一个可视化流量工具。笔者参考了他一部分代码，在构建展示服务器和web视觉界面时，也借用了部分函数。同时，笔者还得感谢Dylan Madisetti给了某些具体实现方面的建议。

Github下载地址

https://github.com/MatthewClarkMay/geoip-attack-map

该项目对系统日志非常依赖，然而大家都知道，不同的应用会有不同的日志格式，所以你需要自行定制日志解析函数。但是，如果您的公司正在使用SIEM（记录安全信息和事件管理的）系统，你可能会省下大量编写正则表达式的时间。

1.将所有日志放进SIEM。

2.使用SIEM去格式化日志。

3.将处理后的日志发送给geoip可视化攻击图谱，让DataServer来解析它。

安装

运行下面的命令，可以安装所有的依赖项（Ubuntu 14.04 x64下测试成功）

设置

1.如果您打算把DataServer运行在其他机器上，可以把/etc/redis/redis.conf里面的默认配置，从bind 127.0.0.1更改为bind 0.0.0.0。

2. /AttackMapServer/index.html里的WebSocket地址需要指向AttackMapServer的IP地址，这样浏览器才能正确识别。

3.下载MaxMind GeoLite2数据库，将DataServer.py里的db_path变量的值，更改为你存放数据库的地址。

下载方式在这里：./db-dl.sh

4.将经纬度填入index.html里的hqLatLng变量。

5. 需要的话，可以使用syslog-gen.sh模拟外部流量。

6.注意：这些代码只能在定制好解析函数后，才能在生产环境里正确运行。默认的解析函数只能解析./syslog-gen.sh产生的伪流量。

你可能喜欢