原标題:GeoIP——自己動手搭建一個實時網絡攻擊地圖
GeoIP(地理位置IP)攻擊地圖可視化工具—實時顯示企業網絡攻擊的工具。資料伺服器跟随syslog檔案,并解析源IP、目的IP、源端口和目的端口。通過建立端口确定協定,可視化地圖根據協定類型以不同顔色顯示。示範視訊位址。要不是Sam Cappella,我們也會無法看到這樣的工具。 Sam Cappella在2015年大賽(Palmetto Cyber Defense Competition)上建立了網路防禦大賽網絡流量可視化工具。本文主要通過他的代碼作為參考,但在建立顯示伺服器時借用了一些函數,以及該網絡網頁應用的視覺要素。
此程式主要依賴syslog,因為所有裝置格式不同,需要自定義日志解析函數。如果企業使用安全資訊和事件管理系統(SIEM),syslog可以使日志規格化,進而節省大量編寫正規表達式的時間。1.發送所有syslog到SIEM;2.使用SIEM使日志規格化;3.将規格化日志發送至運作該軟體的裝置(運作syslog-ng的Linux裝置都可以),以便資料伺服器進行解析。
示範視訊 安裝
運作以下指令,安裝所有必需相關項(在Ubuntu 14.04 x64上測試)
設定
1. 如果你打算在不同裝置上(而不是AttackMapServer)運作DataServer,確定在/etc/redis/redis.conf中将bind 127.0.0.1更改為bind 0.0.0.0。
2. 確定/AttackMapServer/index.html 中的WebSocket位址指向AttackMapServer的IP位址,以便浏覽器知道WebSocket的位址。
3. 下載下傳MaxMind GeoLite2資料庫,并将DataServer.py中的db_path變量更改為存儲資料庫的位址。
o ./db-dl.sh
4. 将latitude/longitude添加到index.html中的hqLatLng變量。
5. 使用syslog-gen.sh模拟“out of the box(立即可用)”。
重要:切記,個性化解析函數後,該代碼隻能在開發環境正确運作。預設解析函數隻解析./syslog-gen.sh流量。
下載下傳GeoIP的攻擊地圖: