🇲🇳 Как установить и настроить Maltrail в Ubuntu 18.04 |
Главная » Мануал

🇲🇳 Как установить и настроить Maltrail в Ubuntu 18.04

Мануал
На чтение 5 мин Опубликовано

Добро пожаловать в наше руководство по установке и настройке Maltrail в Ubuntu 18.04.

Содержание
  1. Что такое Maltrail
  2. Установка и настройка Maltrail в Ubuntu 18.04
  3. Запустите Maltrail Sensor
  4. Запустите Maltrail Server
  5. Тестирование Maltrail

Что такое Maltrail

Maltrail – это система обнаружения вредоносного трафика.

Она использует черные списки, содержащие вредоносные или подозрительные следы, доступные в открытом доступе.

Она также может использовать пользовательские списки, созданные самими пользователями, а также отчеты из различных антивирусных решений.

Рассматриваемый след включает имена доменов, IP-адреса, URL-адреса, значения заголовка агента пользователя HTTP, связанные с вредоносным трафиком.

Помимо использования списков в публичных доменах, Maltrail также может эвристически анализировать трафик для обнаружения неизвестных или новых угроз.

Maltrail состоит из трех компонентов; Sensor, который отслеживает трафик на наличие угроз, Server, который обеспечивает ведение журнала для  сбора сведений о событии обнаруженного вредоносного трафика, и Client, который обеспечивает визуализацию и отчетность по деталям события.

В этом руководстве мы собираемся настроить автономную архитектуру, в которой все компоненты работают на одном сервере.

Установка и настройка Maltrail в Ubuntu 18.04

Установите Maltrail на Ubuntu 18.04, вам нужно клонировать git-репозиторий в вашу систему.

Однако прежде чем продолжить, обновите системные пакеты и установите следующие зависимости Maltrail.

Обновите вашу систему

apt update
apt upgrade

Установите необходимые зависимости

Maltrail требует наличия пакетов python pcap.

Следовательно, чтобы установить pcap и другие необходимые зависимости, выполните команду ниже;

apt install python-setuptools python-pcapy

Клонируйте репозиторий Maltrail с Github

Запустите команду ниже, чтобы клонировать репозиторий Maltrail Github на ваш сервер

git clone https://github.com/stamparm/maltrail.git

Запустите Maltrail Sensor

Чтобы запустить Maltrail Sensor, перейдите в каталог  Maltrail и выполните приведенную ниже команду, чтобы запустить Sensor Maltrail в фоновом режиме.

cd maltrail/
python sensor.py &

При запуске скрипт загружает и обновляет списки Maltrail, относящиеся к вредоносному трафику, и запускает службу Maltrail Sensor.

Maltrail (sensor) #v0.12.16

[i] using configuration file '/home/amos/maltrail/maltrail.conf'
[i] using '/var/log/maltrail' for log storage
[?] at least 384MB of free memory required
[i] using '/root/.maltrail/trails.csv' for trail storage
...
[i] update finished                                        
[i] trails stored to '/root/.maltrail/trails.csv'
[i] updating ipcat database...
[?] in case of any problems with packet capture on virtual interface 'any', please put all monitoring interfaces to promiscuous mode manually (e.g. 'sudo ifconfig eth0 promisc')
[i] opening interface 'any'
[i] setting capture filter 'udp or icmp or (tcp and (tcp[tcpflags] == tcp-syn or port 80 or port 1080 or port 3128 or port 8000 or port 8080 or port 8118))'
[?] please install 'schedtool' for better CPU scheduling (e.g. 'sudo apt-get install schedtool')
[o] running...

Обратите внимание, что Sensor использует любой интерфейс для мониторинга.

Чтобы установить интерфейс для конкретного взаимодействия, отредактируйте файл конфигурации maltrail.conf в /home/username/maltrail/maltrail.conf в разделе «Sensor».

# Interface used for monitoring (e.g. eth0, eth1)
#MONITOR_INTERFACE any
MONITOR_INTERFACE enp0s8

Запустите Maltrail Server

Чтобы запустить сервер Maltrail, выполните команду, указанную ниже в каталоге maltrail.

python server.py &
Maltrail (server) #v0.12.16

[i] using configuration file '/home/amos/maltrail/maltrail.conf'
[i] starting HTTP server at 'http://0.0.0.0:8338/'
[o] running...

Как видите, сервер теперь прослушивает все интерфейсы на сервере через TCP-порт 8338.

Если вам нужно изменить это, остановите сервер и отредактируйте файл конфигурации $HOME/maltrail/maltrail.conf.

pkill -f server.py

Отредактируйте maltrail.conf, чтобы установить интерфейс для определенного IP.

vim maltrail.conf
# [Server]
  
# Listen address of (reporting) HTTP server
#HTTP_ADDRESS 0.0.0.0
HTTP_ADDRESS 192.168.43.203

Запустите сервер снова

python server.py &
...
[i] using configuration file '/home/amos/maltrail/maltrail.conf'
[i] starting HTTP server at 'http://192.168.43.203:8338/'
[o] running...

Для входа в веб-интерфейс пользователя перейдите по указанному выше адресу: http://192.168.43.203:8338/.

Вы будете перенаправлены на интерфейс входа Maltrail.

Учетные данные по умолчанию: admin: changeme!.

Чтобы изменить пароль администратора, вам нужно сгенерировать пароль sha256, выполнив команду ниже;

echo -n 'password' | sha256sum | cut -d " " -f 1
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

Где password – это ваша строка пароля.

Затем скопируйте код и вставьте его в раздел maltrail.conf, раздел сервера, подраздел USERS.

Например, если вы меняли у пользователя admin

USERS
    admin:5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8:0:                        # password
#    admin:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:0:                        # changeme!
#    local:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:1000:192.168.0.0/16       # changeme!

Перезапустите сервер Maltrail, чтобы изменения вступили в силу.

Тестирование Maltrail

Теперь, чтобы проверить, как работает обнаружение Maltrail, я попытаюсь установить соединение с доменом, связанным с вредоносным ПО, как показано ниже;

ping hhgg3.com -c 10
PING pkcdn2.pk051.com (173.248.252.3) 56(84) bytes of data.
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=1 ttl=63 time=714 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=2 ttl=63 time=531 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=4 ttl=63 time=567 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=5 ttl=63 time=589 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=6 ttl=63 time=817 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=7 ttl=63 time=636 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=8 ttl=63 time=491 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=9 ttl=63 time=503 ms
64 bytes from 173-248-252-003.static.imsbiz.com (173.248.252.3): icmp_seq=10 ttl=63 time=704 ms
...

Далее вернитесь в браузер и проверьте статистику.

Это все о том, как установить и настроить Maltrail в Ubuntu 18.04.

Maltrail – потрясающий инструмент.

Не стесняйтесь исследовать его глубже.

Вы можете глянуть их документацию, перейдя по ссылке ниже

https://github.com/stamparm/maltrail#

 

linux ubuntu
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий