OSSIM-agent源代码分析(十二)

最新推荐文章于 2023-04-16 23:38:14 发布
最新推荐文章于 2023-04-16 23:38:14 发布
阅读量1.1k 收藏
点赞数
文章标签: udp 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aunt_y/article/details/122161303
版权

2021SC@SDUSC

PacketUtils.py
OSSIM-agent源代码分析(十二)

简述

OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。

PacketUtils是包处理函数,在对大量数据收集后,处理数据和检索包能力非常重要的一项工作。

OSSIM作为检测工具,基本的处理和检索功能的完备就是非常重要的一环

相关代码

初始导报:

from binascii import hexlify
import socket, struct, sys
import time
from Logger import Logger
from Utils import dumphexdata
logger = Logger.logger

UDPPacket类

初始化方法,初始化数据,将payload和其他关键数据存入对象中

def __init__(self, data):
        self._data = data
        (self.sport, self.dport, self.length, self.checksum) = struct.unpack(">HHHH", data[0:8])
        self._payload = data[8:]

payload get函数

def getpayload(self):
        return self._payload

转存函数,打印相关信息,调用dumpexdata函数

 def dump(self):
        print "UDP Header"
        print "SPORT:%u DPORT:%u LENGTH:%04x CHECKSUM:%04x" % (self.sport, self.dport, self.length, self.checksum)
        print "Payload"
        dumphexdata(self._payload)

str函数,通过正则表达式,匹配对应的字符串

   def __str__(self):
        st = """ udp_sport="%u" udp_dport="%u" udp_len="%u" udp_csum="%u" udp_payload="%s" """
        st = st % (self.sport, self.dport, self.length, self.checksum, hexlify(self._payload))

        return st

TCP包类
TCP格式

            0                   1                   2                   3   
            0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           |          Source Port          |       Destination Port        |
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           |                        Sequence Number                        |
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           |                    Acknowledgment Number                      |
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           |  Data |           |U|A|P|R|S|F|                               |
           | Offset| Reserved  |R|C|S|S|Y|I|            Window             |
           |       |           |G|K|H|T|N|N|                               |
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           |           Checksum            |         Urgent Pointer        |
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           |                    Options                    |    Padding    |
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           |                             data                              |
           +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

初始化函数: 数据中的TCP头可能是假的,必通过正则及匹配判断所有字段都是正确的或没有解码选项

def __init__(self,data):
     
        self._data = data
        (self.sport,self.dport, \
        self.seq,self.ack,self.b1,self.b2, \
        self.window,self.checksum,
        self.urgent)=struct.unpack(">HHIIBBHHH",data[0:20])

        
        self.offset = (self.b1 & 0xf0)>>4
        self.res = (self.b1&0xf)|(self.b2&0xc0)<<4

        self.__flags = {
   1:"C", 2:"E", 4:"U", 8:"A", 16:"P", 32:"R", 64:"S", 128:"F"}
        self.__flags_keys = self.__flags.keys().sort()
        self.flags = (self.b2 & 0x3f)
       
        self.opt =[]
        strlog ="""
            tcp packet
            sport = %s
            dport = %s
            seq = %s
            ack = %s
            b1 = 0x%02x
            b2 = 0x%02x
            offset = %d
        """ % (self.sport,self.dport,self.seq,self.ack,self.b1,self.b2,self.offset)
  
        if self.offset <= 5:
            self.payload = data[20:]

        else:
            optionsize = self.offset*4-20
            

            self.options = data[
最低0.47元/天 解锁文章
飞鸡炸弹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OSSIM-agent源代码分析(一)
aunt_y的博客
10-09 227
2021SC@SDUSC OSSIM-agent源代码分析(一) 1、简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。 OSSIM Server接收到的每一个事件都是被某个Agent事先处理过的,即便是当一个Server只
有关OSSIM源码
weixin_34329187的博客
06-24 328
有关OSSIM源码 在OSSIM系统中绝大部分源码都能查到,但有些Python脚本进行了加密,例如/usr/share/alienvault/ossim-agent/、/usr/share/ossim-framework/ossimframework/、/usr/share/alienvault/alienvault-forward/对于这几个目录下的加密脚本,若读者需要可以到我博客(http:/...
OSSIM源代码结构(草稿)
ITSM/ITIL/网络安全/IT运维
12-04 374
经过两天的下载,一个版本的ossim源代码下载完成。 ossim是一款裁剪版本的Linux操作系统,sorace网站下载的代码包括了整个Linux Debian版本的全部安装包,而且windows的安装包也被放到了一起。 其中,os-sim才是ossim 这是源代码里 www目录, 对比安装后操作系统的目录如下: ...
OSSIM源代码分析(一)
ITSM/ITIL/网络安全/IT运维
12-02 941
OSSIM可以分成几大部分: 一是ossim-agent 二是ossim-framemork, 三是ossim-server, 四是ossim-web界面。 老版本的ossim源代码把所有代码放在一个工程下面,1.0以后的版本基本都分开了,按上面四个部分有四个工程, 在ossim的CVS服务器上,我们可以看到有五个以下工程: 1.agent 2.os-sim 3.server 4.web 5.ossim-gsoc2008 ossim-gsoc2008是和google的源代码合作...
OSSIM源代码结构
javavsnet
09-07 532
OSSIM可以分成几大部分:一是ossim-agent,二是ossim-framemork,三是ossim-server,四是ossim-web界面。 老版本的ossim源代码把所有代码放在一个工程下面,1.0以后的版本基本都分开了,按上面四个部分有四个工程, 在ossim的CVS服务器上,我们可以看到有五个以下工程: 1.agent 2.os-sim 3.server 4.web ...
ossim agent
12-04
~~~对开源软件ossim agent的部署介绍,~对新手很有帮助
OSSIM-GSoC-2014:摄影测量图像处理
07-12
OSSIM-GSoC-2014 摄影测量图像处理:OSSIM 的 DSM 生成工具================ 这是 OSSIM GSoc 2014 的存储库:它包含用于开发用于生成数字表面模型 (DSM) 的 OSSIM 应用程序的代码。 有关该项目的更多信息,请参阅 ...
ossim-geotools:OSSIM GeoTools集成
04-29
迪斯科行动是一个Web服务库,可为用户提供Web服务和图形界面,从而使在PostgreSQL和Accumulo中更轻松地管理地理空间图像。 它还允许用户查看地理空间编码的图块,并通过开放地理空间联盟标准。 未完成(1)提供将...
OSSIM - Open Source Software Image Map-开源
04-28
开源遥感OSSIM项目,发音为“ awesome”,将利用开源社区中现有的算法/工具/软件包来构建最终的遥感/图像处理/ GIS软件包。 osgPlanet扩展了OSSIM和Op
ossim遥感处理软件源代码
05-05
对于遥感和GIS领域的开发者而言,研究OSSIM源代码不仅可以提升在图像处理和地理空间分析方面的技能,还能了解开源社区的协作模式和最佳实践。通过学习OSSIM,你将能够更好地理解和应用遥感技术,解决实际问题,并...
java agent 使用及实现代码
08-27
java agent的作用可以在字节码这个层面对类和方法进行修改的技术,能够在不影响编译的情况下,修改字节码。本文主要给大家讲解java agent 使用及实现代码,感兴趣的朋友一起看看吧
python代码封装一键安装agent
12-05
文件是我写的一个agent,是使用python打的exe包,并可以一键注册成windows系统服务,文件包含程序和详细的说明,我的博客里也有相关介绍
OSSIM插件开发实战(配视频)
weixin_33743661的博客
05-01 146
OSSIM插件开发实战由于现有安全设备产生日志格式不统一,故无法直接进行关联分析,在Ossim系统中采取了基于插件过滤的方式对异构安防设备的日志进行采集,OSSIM插件开发,是开发人员的必备技能,下面就对它进行详细讲解。一、插件配置步骤经过以上描述,大家了解收集日志的流程,接下来就要建立脚本,步骤如下:(1)新建插件文件,通常复制一个现有的脚本文件,并修改其内容,以符合新的应用程序需求。(2)定义...
OSSIM-agent源代码分析(二)
aunt_y的博客
10-17 230
2021SC@SDUSC OSSIM-agent源代码分析(二) 1、简述 Event Handler的主要任务是映射数据源插件采集的事件到SIEM实例警报的OSSIM标准化事件格式。为了执行这样的过程,原始消息经历由RAW LOG转换为现有归一化数据字段格式的一个转变;我们将这些机制表示为“归一化Normalization”和“OSSIM消息” 2、Agent.py源码分析 loadAliases函数分析 主要功能:加载别名配置文件 进行配置文件引入及相关类的声明 self.__aliases = Ali
OSSIM-agent源代码分析(六)
aunt_y的博客
11-14 394
2021SC@SDUSC Watchdog.py OSSIM-agent源代码分析(六) 简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程 其中对于各种进程插件的保护监控处理就非常关键,watchdog则是负责这部分的函数代
【从零开始学Skynet】实战篇《球球大作战》(十):agent代码设计
我是一条寻水的鱼
04-16 838
现在开发登录流程涉及的最后一个服务,完成后就可以真正地把框架运行起来了。还会演示agent的单机功能,做个“打工”小游戏。
OSSIM-agent源代码分析(十一)
aunt_y的博客
12-21 162
2021SC@SDUSC ControlSniffer.py OSSIM-agent源代码分析(十一) 简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。 Sniffer,中文可以翻译为嗅探器,也叫抓数据包软件,是一种基于被
OSSIMAgent架构
liu_hliang的博客
11-28 357
    Agent     OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。 这一点和Hyperic HQ 的A...
ossec-agent
最新发布
04-30
OSSEC-Agent是一种基于开源OSSIM安全信息和事件管理系统的轻量级客户端,主要用于监控和保护服务器、工作站和工作流程。OSSEC-Agent与OSSEC-Server通信,定期收集系统日志、文件变更、注册表内容的变化等信息,进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值