GeoIP——自己动手搭建一个实时网络攻击地图


GeoIP——自己动手搭建一个实时网络攻击地图 - E安全

GeoIP(地理位置IP)攻击地图可视化工具—实时显示企业网络攻击的工具。数据服务器跟随syslog文件,并解析源IP、目的IP、源端口和目的端口。通过创建端口确定协议,可视化地图根据协议类型以不同颜色显示。演示视频地址戳这里。要不是Sam Cappella,我们也会无法看到这样的工具。 Sam Cappella在2015年帕尔梅托网络防御大赛(Palmetto Cyber Defense Competition)上创建了网路防御大赛网络流量可视化工具。本文主要通过他的代码作为参考,但在创建显示服务器时借用了一些函数,以及该网络网页应用的视觉要素。

此程序主要依赖syslog,因为所有设备格式不同,需要自定义日志解析函数。如果企业使用安全信息和事件管理系统(SIEM),syslog可以使日志规格化,从而节省大量编写正则表达式的时间。1.发送所有syslog到SIEM;2.使用SIEM使日志规格化;3.将规格化日志发送至运行该软件的设备(运行syslog-ng的Linux设备都可以),以便数据服务器进行解析。

演示视频

安装

运行以下命令,安装所有必需相关项(在Ubuntu 14.04 x64上测试)

 GeoIP——自己动手搭建一个实时网络攻击地图 - E安全

设置

1. 如果你打算在不同设备上(而不是AttackMapServer)运行DataServer,确保在/etc/redis/redis.conf中将bind 127.0.0.1更改为bind 0.0.0.0。

2. 确保/AttackMapServer/index.html 中的WebSocket地址指向AttackMapServer的IP地址,以便浏览器知道WebSocket的地址。

3. 下载MaxMind GeoLite2数据库,并将DataServer.py中的db_path变量更改为存储数据库的地址。

o ./db-dl.sh

4. 将latitude/longitude添加到index.html中的hqLatLng变量。

5. 使用syslog-gen.sh模拟虚拟的流量“out of the box(立即可用)”。

重要:切记,个性化解析函数后,该代码只能在开发环境正确运行。默认解析函数只解析./syslog-gen.sh流量。

下载GeoIP的攻击地图:https://github.com/MatthewClarkMay/geoip-attack-map

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。