🖧 Cyberprobe: мониторинг сетевых атак в режиме реального времени

Проект Cyberprobe — это распределенная архитектура с открытым исходным кодом для мониторинга сетей в режиме реального времени.

Программное обеспечение состоит из двух компонентов:

  • зонд, который собирает пакеты данных и передает их по сети в стандартных потоковых протоколах.
  • монитор, который принимает потоковые пакеты, декодирует протоколы и интерпретирует информацию.

Эти компоненты могут использоваться вместе или по отдельности.

Для простой конфигурации их можно запускать на одном хосте, а в более сложных средах несколько датчиков могут подавать сигнал на один монитор.

Зонд cyberprobe имеет следующие особенности:

  • Зонду может быть поручено собирать пакеты с интерфейса и пересылать любые из них, которые соответствуют настраиваемому списку адресов.
  • Зонд может быть настроен на получение предупреждений Snort. В этой конфигурации, когда предупреждение получено от Snort, IP-адрес источника, связанный с предупреждением, динамически нацеливается на определенный период времени. В такой конфигурации система будет собирать данные от любого сетевого субъекта, который запускает правило Snort и, таким образом, определяется как потенциальный злоумышленник.
  • Зонд может дополнительно запускать интерфейс управления, который позволяет удаленно запрашивать состояние и изменять конфигурацию. Это позволяет динамически изменять карту таргетинга и интегрироваться с другими системами.
  • Зонд может быть настроен для доставки по одному из двух стандартных потоковых протоколов.

Инструмент мониторинга Cybermon имеет следующие особенности:

  • Собирает пакеты, доставленные в потоке протоколов.
  • Декодирует пакетные протоколы и вызывает события почти в реальном времени.
  • Декодированная информация становится доступной для настраиваемой пользователем логики, чтобы определить, как обрабатываются декодированные данные. Используется простой язык конфигурации (LUA), и предоставляются примеры конфигураций для мониторинга объемов данных, отображения шестнадцатеричных данных или сохранения данных в файлах.
  • Включены методы подделки пакетов, которые позволяют сбрасывать TCP-соединения и подделывать ответы DNS. Это может быть вызвано из вашего LUA, чтобы дать отпор атакам в вашей сети.
  • Имеет механизм доставки  для ElasticSearch, Google BigQuery и хранилища графиков Gaffer.
  • Поддерживает протоколы IP, TCP, UDP, ICMP, HTTP и DNS, в настоящее время.

Программное обеспечение Cybermon включает некоторую поддержку STIX в качестве спецификации индикатора угрозы и может создавать оповещения о наличии угроз в сети.

Код предназначен для платформы Linux, хотя он достаточно универсален, чтобы быть применимым к другим UN * X-подобным платформам.

Скачать

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40