流影---开源网络流量分析平台(五)(成果展示)

已于 2025-04-05 00:50:14 修改
阅读量817 收藏 8
点赞数 14
分类专栏: 流影使用 文章标签: 开源 流影 开源软件 网络 安全威胁分析
于 2025-04-05 00:49:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sveewg/article/details/146720175
版权

目录

前沿

攻击过程

前沿

前四章我们已经成功安装了流影的各个功能,那么接下来我们就看看这个开源工具的实力,本实验将进行多个攻击手段(ip扫描,端口扫描,sql注入)攻击靶机,来看看流影的态感效果

攻击过程

首先本实验ens33网卡作为web控制配置,ens34作为靶机的受体,我们把探针部署在ens34网卡上并启动

[root@localhost ~]# lyprobe -T "%IN_SRC_MAC %OUT_DST_MAC %IPV4_SRC_ADDR %IPV4_DST_ADDR %PROTOCOL %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %SRC_TOS %IN_PKTS %IN_BYTES %SRV_TYPE %SRV_NAME %SRV_VERS %DEV_TYPE %DEV_NAME %DEV_VEND %DEV_VERS %OS_TYPE %OS_NAME %OS_VERS %MID_TYPE %MID_NAME %MID_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %SRV_TIME %DEV_TIME %OS_TIME %MID_TIME %THREAT_TIME" -n 127.0.0.1:9995 -e 0 -w 32768 -G -i ens34  #这里作为输入命令


03/Apr/2025 01:05:16 [nprobe.c:2374] Welcome to lyprobe v.1.0.0 ($Revision: 2212 $) for x86_64-unknown-linux-gnu 
03/Apr/2025 01:05:16 [plugin.c:145] Loading plugins from ./plugins ...... Not Found.
03/Apr/2025 01:05:16 [plugin.c:150] Loading plugins from /bin/plugins ...... Loaded.
03/Apr/2025 01:05:16 [servicePlugin.c:766] No pattern found in ./fp-patterns
03/Apr/2025 01:05:16 [servicePlugin.c:763] Load pattern in /bin/plugins/fp-patterns
03/Apr/2025 01:05:16 [servicePlugin.c:505] >load 44 protocol patterns.
03/Apr/2025 01:05:16 [servicePlugin.c:505] >load 15 device patterns.
03/Apr/2025 01:05:16 [servicePlugin.c:505] >load 16 os patterns.
03/Apr/2025 01:05:16 [servicePlugin.c:505] >load 25 midware patterns.
03/Apr/2025 01:05:16 [servicePlugin.c:505] >load 16 threat patterns.
03/Apr/2025 01:05:16 [servicePlugin.c:792] >>Loaded 116 patterns totally.
03/Apr/2025 01:05:16 [plugin.c:585] 1 plugin(s) enabled
03/Apr/2025 01:05:16 [nprobe.c:3564] Capturing packets from interface ens34

同时打开/etc/rc.local文件,确定有以下内容

#!/bin/bash
# THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES
#
# It is highly advisable to create own systemd services or udev rules
# to run scripts during boot instead of using this file.
#
# In contrast to previous versions due to parallel execution during boot
# this script will NOT be run after all other services.
#
# Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure
# that this script will be executed during boot.

touch /var/lock/subsys/local
modprobe  pf_ring
lyprobe -T "%IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FIRST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %SRV_TYPE %SRV_NAME %SRV_VERS %DEV_TYPE %DEV_NAME %DEV_VEND %DEV_VERS %OS_TYPE %OS_NAME %OS_VERS %MID_TYPE %MID_NAME %MID_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TIME %DEV_TIME %OS_TIME %MID_TIME %THREAT_TIME" -i ens34 -n 172.20.10.4:9995 -G -e 0 -w 32768 -k 1 -K /data/cap/3
/Agent/bin/nfcapd -w -D -l /data/flow/3 -p 9995
~

然后查看进程

[root@localhost ~]# ps aux |grep lyprobe   #查看lyprobe探针是否启动
root       1299  0.0  0.2 303584  9912 ?        Ssl  4月02   0:13 lyprobe -T %IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FIRST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %SRV_TYPE %SRV_NAME %SRV_VERS %DEV_TYPE %DEV_NAME %DEV_VEND %DEV_VERS %OS_TYPE %OS_NAME %OS_VERS %MID_TYPE %MID_NAME %MID_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TIME %DEV_TIME %OS_TIME %MID_TIME %THREAT_TIME -i ens34 -n 172.20.10.4:9995 -G -e 0 -w 32768 -k 1 -K /data/cap/3
root      10292  0.1  0.1 303584  7200 ?        Ssl  01:05   0:00 lyprobe -T %IN_SRC_MAC %OUT_DST_MAC %IPV4_SRC_ADDR %IPV4_DST_ADDR %PROTOCOL %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %SRC_TOS %IN_PKTS %IN_BYTES %SRV_TYPE %SRV_NAME %SRV_VERS %DEV_TYPE %DEV_NAME %DEV_VEND %DEV_VERS %OS_TYPE %OS_NAME %OS_VERS %MID_TYPE %MID_NAME %MID_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %SRV_TIME %DEV_TIME %OS_TIME %MID_TIME %THREAT_TIME -n 127.0.0.1:9995 -e 0 -w 32768 -G -i ens34
root      10300  0.0  0.0 112828   980 pts/2    S+   01:08   0:00 grep --color=auto lyprobe


[root@localhost ~]# ps aux |grep nfcapd    #查看nfcapd分析工具是否启动
root       1317  0.0  0.1  21348  4164 ?        S    4月02   0:00 /Agent/bin/nfcapd -w -D -l /data/flow/3 -p 9995
root      10388  0.0  0.0 112828   980 pts/2    S+   01:10   0:00 grep --color=auto nfcapd

 然后浏览器输入http://ip地址:18080/ui,

点击配置> 规则,对各种规则进行设置(ip设置为0.0.0.0,流量如果小的话,阈值可以设置低点,要不然效果不明显,)关于规则具体的参数建议都设置小点(如果用的是流量包回放),不会的看官方文档:流影: 系统配置

然后导入流量包,我这里使用的是tcpreplay回放工具,可以先安装

# 安装tcpreplay回放工具
sudo yum install epel-release
sudo yum install tcpreplay


# 然后导入流量包(流量包在我前面的文章中有)
[root@localhost ~]# cd pcap_file
[root@localhost pcap_file]# ls
dnstun_cobalt_strike.pcap  ip_scan.pcap        mining_monerohash.pcap  sql_inject.pcap
icmptun_ptunnel_ssh.pcap   mining_common.pcap  port_scan.pcap
[root@localhost pcap_file]# tcpreplay -i ens34 dnstun_cobalt_strike.pcap
[root@localhost pcap_file]# tcpreplay -i ens34 ip_scan.pcap
[root@localhost pcap_file]# tcpreplay -i ens34 mining_monerohash.pcap
[root@localhost pcap_file]# tcpreplay -i ens34sql_inject.pcap
[root@localhost pcap_file]# tcpreplay -i ens34 icmptun_ptunnel_ssh.pcap 
[root@localhost pcap_file]# tcpreplay -i ens34 mining_common.pcap
[root@localhost pcap_file]# tcpreplay -i ens34 port_scan.pcap

查看

Python机器学习实战:采用机器学习技术对网络流量进行分析
AI天才研究院
08-11 562
1. 背景介绍 1.1 网络流量分析的意义 网络流量分析网络安全、网络管理和网络优化等领域的关键技术。通过对网络流量进行深入分析,我们可以: 识别网络攻击: 检测恶意软件、DDoS攻击、入侵企图等安全威胁
AI大模型在智能网络流量分析中的商业价值探讨
AI天才研究院
10-12 888
《AI大模型在智能网络流量分析中的商业价值探讨》 关键词:AI大模型、智能网络流量分析、商业价值、技术挑战、未来发展趋势 摘要:本文探讨了AI大模型在智能
---开源网络流量可视化分析平台(一)
idealion的博客
07-23 8295
是国内第一款开源的轻量级网络安全态势感知与可视化分析平台,集成了量探针、网络行为分析引擎、威胁检测引擎和交互式可视化分析引擎四个核心模块,本期实验将对进行部署与测试。
基于Python的网络流量分析系统
weixin_45769113的博客
08-02 1708
大数据网络流量系统是在对相关管理范畴进行详细调研后,确定了系统涉及的领域,包括数据库设计、界面设计等,是一个具有实际应用意义的管理系统。根据本毕业设计要求,经过四个多月的设计与开发,大数据网络流量系统基本开发完毕。其功能基本符合用户的需求。为保证有足够的技术能力去开发本系统,首先本人对开发过程中所用到的工具和技术进行了认真地学习和研究,详细地钻研了基于Python的网络爬虫技术以及Echarts, CSS, HTML等前端开发技术,同时还研究了大数据开发技术等。
Poseidon:基于SDN的网络流量分析开源项目
gitblog_00952的博客
01-13 525
Poseidon:基于SDN的网络流量分析开源项目 poseidon Poseidon is a python-based application that leverages software defined networks (SDN) to acquire and then feed network traffic...
机器学习-01-课程目标与职位分析
IT从业者的成长历程
02-26 2827
本系列是机器学习课程的第01篇,主要介绍本门课程的课程目标与职位分析
networkmonitor网络流量监控小工具开源!!
smwhotjay的专栏
08-28 4289
无聊时写的一个网络流量监控小工具,可以在winXP,win7,win8系统很好工作。 采用vs2003开发,mfc静态库编译。 下面是运行截图  代码提交到了github  https://github.com/344717871/networkmonitor 有问题可以mail我 simawei@qq.com
国内首个开源网络流量可视化分析平台 --
开源流影项目的博客
12-30 6630
是面向全行业用户的下一代网络行为高级分析平台,专注于分析识别各类网络安全相关行为,同时对各类网络行为留存关键证据,为企业及个人用户提供网络威胁行为识别、分析、追溯能力。
分析系统开源/14个高效网站分析工具_零基础渗透技巧
程序员三九的博客
08-07 1159
找到最适合你需要的工具可能很棘手,因为有这么多的选择。在这篇文章中,我们特意列出了准确评估网站量的14种顶级工具。
---开源网络流量分析平台(二)(功能部署--量探针)
最新发布
sveewg的博客
03-28 1934
小编们可以自行研究部署,也可以看我部署功能部署包:通过网盘分享的文件:liuying整合包链接: https://pan.baidu.com/s/1cWFJjXyu6eskj-g1rY0mzg?pwd=jjpg 提取码: jjpg。
10 个强大的开源 Web 分析工具
记录点滴
01-30 1851
http://www.oschina.net/question/8676_9211
PCAPAnalyzer:从PCAP格式进行网络流量分析-开源
05-08
PCAP分析器是一种工具,可以帮助分析以PCAP格式(tcpdump的标准)捕获的网络流量。 它具有可扩展的过滤器,负责剖析数据包并打印信息,例如吞吐量或可以由过滤器分析的任何内容(例如,数据包丢失,重新排序等)。 它带有几个内置的过滤器,但是可以通过在类路径中添加定制的过滤器来进行扩展。 它的开发旨在帮助理解复杂的网络路由问题,在这种情况下,数据包可能会乱序到达,某些数据包丢失或重复。 网络分析需要同步本地(目标)计算机和远程(源)计算机上的捕获并显示警告消息,同时以PCAP格式记录量以进行脱机分析。 PCAPAnalyzer通常用于通过管道传输到tcpdump,以在控制台上显示警告,并可以稍后使用不同的筛选器重播量。
AccSoft-开源
05-02
AccSoft支持与其他报告工具的互操作,这意味着它可以与现有的业务管理系统、CRM系统或者数据分析平台整合,实现数据的一致性和完整性。例如: 1. 数据导入导出:将AccSoft的数据与第三方工具的数据进行同步,方便...
APE - Ad Hoc Protocol Evaluation testbed-开源
05-26
3. **模拟与分析工具**:内置的工具集可以帮助研究人员收集和分析测试数据,包括网络流量统计、延迟、丢包率、路径稳定性等关键指标,以便深入理解路由协议的性能。 4. **灵活性与可扩展性**:由于其开源性质,APE...
One Name Study-开源
07-31
"一个名字研究"开源项目是一个专为系谱学家设计的在线平台,旨在帮助他们分享和展示他们的家谱研究成果。这个应用程序充分利用了Java编程语言的强大功能,并将其部署在Google App Engine上,这是一个由Google提供的...
An NS2 TCP Evaluation Tool-开源
05-28
它允许用户在虚拟环境中模拟网络流量,观察和分析网络行为,这对于理解复杂的网络现象和优化网络系统设计具有极大的价值。然而,传统的NS2使用中,TCP性能的评估通常需要编写大量的自定义代码,这无疑增加了研究工作...
常见开源分析软件
A240944607的博客
03-18 360
*
---开源网络流量可视化分析平台(二)
idealion的博客
07-24 2416
本实验通过Kali Linux对平台的监听IP进行攻击,测试平台的可视化功能。
探索网络流量的秘密:Justniffer——你的HTTP嗅探专家
gitblog_00095的博客
06-04 471
探索网络流量的秘密:Justniffer——你的HTTP嗅探专家 justniffer Justniffer Just A Network TCP Packet Sniffer .Justniffer is a network protocol analyzer that captures network traffi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值