Geoip可视化攻击图谱:打造专属的炫酷风

geoip-attack-map.png

Geoip可视化攻击图谱可以用于实时显示您正在遭受的网络攻击,它会跟踪系统日志文件,解析出日志里的源IP、目的IP、源端口和目的端口。

介绍

该工具的可视化机制会根据常见端口进行细分,通过不同的协议类型进行颜色区别。Geoip可视化攻击图谱项目的诞生,需要特别感谢Sam Cappella。这位大牛在2015的Palmetto网络防御比赛中制作了一个可视化流量工具。笔者参考了他一部分代码,在构建展示服务器和web视觉界面时,也借用了部分函数。同时,笔者还得感谢Dylan Madisetti给了某些具体实现方面的建议。

Github下载地址在这里

该项目对系统日志非常依赖,然而大家都知道,不同的应用会有不同的日志格式,所以你需要自行定制日志解析函数。但是,如果您的公司正在使用SIEM(记录安全信息和事件管理的)系统,你可能会省下大量编写正则表达式的时间。

1. 将所有日志放进SIEM。

2. 使用SIEM去格式化日志。

3. 将处理后的日志发送给geoip可视化攻击图谱,让DataServer来解析它。

安装

运行下面的命令,可以安装所有的依赖项(Ubuntu 14.04 x64下测试成功)

设置

1. 如果您打算把DataServer运行在其他机器上,可以把/etc/redis/redis.conf里面的默认配置,从bind 127.0.0.1更改为bind 0.0.0.0。

2. /AttackMapServer/index.html里的WebSocket地址需要指向AttackMapServer的IP地址,这样浏览器才能正确识别。

3. 下载MaxMind GeoLite2数据库,将DataServer.py里的db_path变量的值,更改为你存放数据库的地址。

下载方式在这里:./db-dl.sh

4. 将经纬度填入index.html里的hqLatLng变量。

5. 需要的话,可以使用syslog-gen.sh模拟外部流量。

6. 注意:这些代码只能在定制好解析函数后,才能在生产环境里正确运行。默认的解析函数只能解析./syslog-gen.sh产生的伪流量。

* 参考来源:Github,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)