Maltrail是一种恶意流量检测系统,Maltrail基于流量->传感器服务器客户端体系结构。本文介绍在Linux上配置Maltrail的方法,以Debian 10 (Buster)版本为例。
步骤1:更新和升级服务器
先更新和升级您的服务器,请运行以下命令:
sudo apt update && sudo apt update
步骤2:安装Maltrail传感器和schedtool
传感器是在监视节点上或在独立计算机上运行的独立组件,在该计算机上,它监视列入黑名单的项目的通过流量,通过运行以下命令进行安装。
1、安装“schedtool”以更好地进行CPU调度
schedtool有助于更好的CPU调度:
sudo apt-get install schedtool
以下将安装git和python-pcapy,从Maltrail GitHub页面提取文件,然后安装:
sudo apt-get install git python-pcapy -y
git clone https://github.com/stamparm/maltrail.git
cd maltrail
sudo python sensor.py &
在执行最后一条命令后,您将在下载和更新与恶意流量相关的Maltrail列表时看到如下所示的内容。
2、克隆git文件
3、下载和更新与恶意流量相关的Maltrail列表
步骤3:在同一台计算机上启动服务器(可选)
服务器的主要作用是存储事件详细信息,并为报告Web应用程序提供后端支持,在默认配置中,服务器和传感器将在同一台计算机上运行,要在同一台计算机上启动服务器,请运行以下命令:
[[ -d maltrail ]] || git clone https://github.com/stamparm/maltrail.git
cd maltrail
python server.py &
您可以通过键入http://:8338来访问其Web用户界面,默认帐户为用户名:admin,密码:changeme!。
步骤4:微调传感器和服务器配置
对于那些希望微调其服务器和传感器配置的用户,这里有一个文件可供您执行,只需进入克隆了maltrail的目录,然后查找“maltrail.conf”:
sudo vim /home/tech/maltrail/maltrail.conf
在文件内,您会在方括号内找到各种类别,对于服务器,请查找#[Server],对于传感器设置,请查找#[Sensor]类别,例如,让我们更改您希望服务器监听的默认IP:
#[Server]
#Listen address of (reporting) HTTP server
HTTP_ADDRESS 172.17.196.57
#HTTP_ADDRESS ::
#HTTP_ADDRESS fe80::12c3:7bff:fe6d:cf9b%eno1
#Listen port of (reporting) HTTP server
HTTP_PORT 8338
#Use SSL/TLS
USE_SSL false
#SSL/TLS (private/cert) PEM file (e.g. openssl req -new -x509 -keyout server.pem -out server.pem -days 1023 -nodes)
#SSL_PEM misc/server.pem
#User entries (username:sha256(password):UID:filter_netmask(s))
#Note(s): sha256(password) can be generated on Linux with: echo -n 'password' | sha256sum | cut -d " " -f 1
#UID >= 1000 have only rights to display results (Note: this moment only functionality implemented at the client side)
#filter_netmask(s) is/are used to filter results
USERS
admin:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:0:
# changeme!
#local:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:1000:192.168.0.0/16 # changeme!
要更改默认密码,请查找“USERS”,在它的下面,您会注意到admin和代表密码的长字符串,要创建新密码,请使用以下命令,它应该产生一个类似于我们在文件中看到的字符串,在此之前,您可以放置任何用户名,在密码末尾,不要忘记添加参数(:0:):
echo -n 'StrongPassword' | sha256sum | cut -d " " -f 1
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
The string produced represents StrongPassword as the password
打开相同的文件并对其进行编辑以设置新的帐户,运行sudo vim /home/tech/maltrail/maltrail.conf:
#[Server]
#Listen address of (reporting) HTTP server
HTTP_ADDRESS 172.17.196.57
#HTTP_ADDRESS ::
#HTTP_ADDRESS fe80::12c3:7bff:fe6d:cf9b%eno1
#Listen port of (reporting) HTTP server
HTTP_PORT 8338
#Use SSL/TLS
USE_SSL false
#SSL/TLS (private/cert) PEM file (e.g. openssl req -new -x509 -keyout server.pem -out server.pem -days 1023 -nodes)
#SSL_PEM misc/server.pem
#User entries (username:sha256(password):UID:filter_netmask(s))
#Note(s): sha256(password) can be generated on Linux with: echo -n 'password' | sha256sum | cut -d " " -f 1
#UID >= 1000 have only rights to display results (Note: this moment only functionality implemented at the client side)
#filter_netmask(s) is/are used to filter results
#filter_netmask(s) is/are used to filter results
USERS
#admin:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:0:
# changeme!
#local:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:1000:192.168.0.0/16 # changeme!
Admin:05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223:0: ## New credentials
进行这些更改后,请启动和停止Maltrail:
cd /home/tech/maltrail
pkill -f server.py
python server.py &
步骤5:测试一切是否正常运行
要测试一切正常并运行,请执行以下操作:
ping -c 1 136.161.101.53
cat /var/log/maltrail/$(date +"%Y-%m-%d").log
另外,要测试捕获DNS流量,您可以尝试以下操作:
nslookup morphed.ru
cat /var/log/maltrail/$(date +"%Y-%m-%d").log
要查看Web界面上的请求,只需刷新该页面,您将获得与以下插图类似的内容:
结语
Maltrail是一个很棒的工具,可以真正增强您的网络监控并始终保持基础结构的安全,即使不能保证100%的安全性,缓解总是可以胜任的。
相关主题