Geoip可视化攻击图谱:打造专属的炫酷风

Geoip可视化攻击图谱可以用于实时显示您正在遭受的网络攻击,它会跟踪系统日志文件,解析出日志里的源IP、目的IP、源端口和目的端口。

介绍

该工具的可视化机制会根据常见端口进行细分,通过不同的协议类型进行颜色区别。Geoip可视化攻击图谱项目的诞生,需要特别感谢Sam Cappella。这位大牛在2015的Palmetto网络防御比赛中制作了一个可视化流量工具。笔者参考了他一部分代码,在构建展示服务器和web视觉界面时,也借用了部分函数。同时,笔者还得感谢Dylan Madisetti给了某些具体实现方面的建议。

Github下载地址

https://github.com/MatthewClarkMay/geoip-attack-map

该项目对系统日志非常依赖,然而大家都知道,不同的应用会有不同的日志格式,所以你需要自行定制日志解析函数。但是,如果您的公司正在使用SIEM(记录安全信息和事件管理的)系统,你可能会省下大量编写正则表达式的时间。

1.将所有日志放进SIEM。

2.使用SIEM去格式化日志。

3.将处理后的日志发送给geoip可视化攻击图谱,让DataServer来解析它。

安装

运行下面的命令,可以安装所有的依赖项(Ubuntu 14.04 x64下测试成功)

设置

1.如果您打算把DataServer运行在其他机器上,可以把/etc/redis/redis.conf里面的默认配置,从bind 127.0.0.1更改为bind 0.0.0.0。

2. /AttackMapServer/index.html里的WebSocket地址需要指向AttackMapServer的IP地址,这样浏览器才能正确识别。

3.下载MaxMind GeoLite2数据库,将DataServer.py里的db_path变量的值,更改为你存放数据库的地址。

下载方式在这里:./db-dl.sh

4.将经纬度填入index.html里的hqLatLng变量。

5. 需要的话,可以使用syslog-gen.sh模拟外部流量。

6.注意:这些代码只能在定制好解析函数后,才能在生产环境里正确运行。默认的解析函数只能解析./syslog-gen.sh产生的伪流量。

你可能喜欢

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180222B08SC400?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券