本文介绍了Malcolm的核心组件,如Zeek、Suricata、Arkime和反病毒工具ClamAV、YARA,以及如何部署和配置这些工具以实现网络流量分析、入侵检测和恶意软件防护。同时提到了FlowShadow的局限性,并给出了系统的网络渗透学习路线和社群支持。
Malcolm的核心组件包括:
-
Zeek(原名Bro):Zeek是一个强大的网络分析框架,可以将实时网络流量转换为高度结构化的事件日志。Zeek可以识别和记录网络上的各种活动,如连接、文件传输、DNS请求等。
-
Suricata:Suricata是一个高性能的开源入侵检测和防御系统(IDS/IPS)。它可以分析网络流量,并根据预定义的规则检测潜在的恶意行为。
-
Arkime(原名Moloch):Arkime是一个大规模网络流量监控工具,可以捕获、索引和存储网络流量数据。它提供了一个功能强大的Web界面,用于搜索和查看网络流量数据。
-
ClamAV:ClamAV是一个开源的反病毒引擎,用于检测恶意软件、病毒和其他网络威胁。它可以扫描文件、邮件和网络流量,以识别和阻止恶意软件。
-
YARA:YARA是一个用于创建和匹配恶意软件签名的工具。它允许安全研究人员编写规则来描述恶意软件家族的特征,从而更容易地识别和分类恶意软件。
部署Malcolm的基本步骤如下:
-
下载并安装Malcolm:从GitHub上下载Malcolm的源代码,并按照官方文档中的说明进行安装。
-
安装和配置ClamAV:按照ClamAV的官方文档安装并配置ClamAV。确保您已更新病毒定义数据库。
-
安装和配置YARA:按照YARA的官方文档安装并配置YARA。编写或下载适用于您的需求的YARA规则。
-
配置Malcolm:根据您的网络环境和需求,配置Malcolm的设置。例如,您需要指定要监控的网络接口和IP地址范围。
-
集成ClamAV和YARA:将ClamAV和YARA集成到Malcolm的工作流程中。这可能需要一些自定义开发和脚本编写,以确保这些工具可以在Malcolm的网络流量分析过程中自动运行。
-
启动Malcolm、ClamAV和YARA:启动这些服务,开始监控网络流量并检测恶意软件。
-
使用Malcolm的Web界面进行流量分析:登录到Malcolm的Web界面,搜索和查看网络流量数据。结合Zeek的事件日志和Suricata的入侵检测结果及ClamAV的恶意软件检测结果和YARA的恶意软件分类,分析潜在的网络威胁。
请注意,部署Malcolm可能需要一定的网络和安全知识。在开始之前,确保您熟悉这些工具的基本概念和功能。
FlowShadow缺点:只能对 命中 特征规则 单包进行了留存。能留存netflow形式的流量会话日志但没有全流量留存功能且没有单包/会话日志导出功能。没有文件还原之反病毒引擎。国内首个开源网络流量可视化分析和威胁感知平台
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
607
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
