關于Network_Assessment
Network_Assessment是一款功能強大的網絡可疑活動監控工具,該工具在Wireshark或TCPdump的加持下,可以幫助廣大研究人員根據記錄下的網絡流量數據,來檢測和判斷正在監控的目標網絡中是否存在惡意活動。
功能特性
Network_Assessment基于純Python開發,可以對給定的.pcap文件執行網絡流量分析,并嘗試檢測下列可疑的網絡活動或攻擊行為:
1、DNS隧道;
2、SSH隧道;
3、TCP會話劫持;
4、SMB攻擊;
5、SMTP或DNS攻擊;
6、IPv6分片攻擊;
7、TCP RST攻擊;
8、SYS洪泛攻擊;
9、UDP洪泛攻擊;
10、Slowloris攻擊;
除此之外,該腳本還將嘗試檢測包含了可疑關鍵字(例如“密碼”、“登錄名”、“管理員”等)的數據包,并將檢測到的可疑活動或攻擊行為顯示在控制臺中以方便廣大研究人員查看。
當前版本的Network_Assessment主要包含下列功能:
1、get_user_input():從用戶處獲取.pcap文件的路徑地址;
2、get_all_ip_addresses(capture):返回一個包含了所有數據源和目標IP地址的數據集合;
3、detect_*函數:用于檢測指定攻擊或可疑行為;
4、main()函數:執行工具腳本的主要操作。首先,它會從用戶處獲取.pcap文件的路徑,然后對其進行分析并嘗試檢測指定的攻擊行為或可疑活動;
工具安裝
由于該工具基于Python 3開發,因此我們首先需要在本地設備上安裝并配置好Python 3環境。接下來,廣大研究人員可以使用下列命令將該項目源碼克隆至本地:
git clone https://github.com/alperenugurlu/Network_Assessment.git
然后切換到項目目錄中,并使用pip3命令和項目提供的requirements.txt文件安裝該工具所需的其他依賴組件:
cd Network_Assessment/pip3 install -r requirements.txt
工具運行
首先,我們可以使用下列命令執行工具腳本,并按照提示輸入.pcap文件的路徑即可:
python3 Network_Compromise_Assessment.pyPlease enter the path to the .pcap or .pcapng file: /root/Desktop/TCP_RST_Attack.pcap
工具運行結果如下圖所示:
安全牛
D1Net
關鍵基礎設施安全應急響應中心
E安全
虹科網絡安全
一顆小胡椒
D1Net
嘶吼專業版
一顆小胡椒
嘶吼專業版
系統安全運維
安全牛
