介绍流影
流影:
官网:https://abyssalfish-os.github.io/
国内首个开源网络流量可视化分析平台
专注于网络行为分析识别和威胁行为追溯挖掘
提供轻量级网络行为可视化分析与安全态势感知综合解决方案
适用于入侵检测、攻防演练、威胁狩猎、网络安全态势感知等应用场景
看见网络通讯、看清网络行为、看懂网络威胁,守护每一位用户数字化安全发展之路
实验简介
本实验需具备Linux操作基础
系统环境
以下为官方推荐的系统版本,本实验使用的为CentOS7.9-2009-x64-Everything-2009.iso
操作系统 | 基础服务 | 权限 |
---|---|---|
CentOS7.9-2009-x64-Minimal | httpd、mariadb-server | root |
> 下载链接http://mirrors.nju.edu.cn/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-Everything-2207-02.iso
网络环境
服务器 | IP | 端口 | 描述 |
---|---|---|---|
采集分析 | eth1/无 | 混杂模式 | 流量镜像采集 |
- | eth0/内网IP | TCP/22 | SSH服务 |
- | - | TCP/10081 | Server-Agent通讯 |
- | - | TCP/18080 | WebUI及API通信 |
软件环境
以下为官方提供的开源版软件包,其中分析引擎与管理引擎分别有两个软件包,需要全部下载
> 探针https://gitee.com/abyssalfish-os/ly_probe/releases/download/v1.0.0/lyprobe-relese-v1.0.0-x86_64.tar.gz> 分析引擎https://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.4.230706/ly_analyser_release.v1.0.4.230706.tar.gzhttps://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.0/ly_analyser_dependence.v1.0.0.221226.tar.gz> 管理引擎https://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0.230325/ly_server_release.v1.0.230325.tar.gzhttps://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0.0/ly_server_dependence.v1.0.0.221230.tar.gz> 可视化界面https://gitee.com/abyssalfish-os/ly_vis/releases/download/v1.0.4/开源版.zip
实验流程
虚拟机配置
配置类型选择典型
安装来源选择稍后安装操作系统
客户机操作系统选择Linux并在版本中选择CentOS 7 64位
虚拟机名称和位置根据自身决定
磁盘容量分配大一些
最后点击完成
点击编辑虚拟机设置
根据自身电脑配置修改虚拟机配置并选择镜像文件
因实验需求,需额外添加一张网卡,一块设置为NAT用于本地SSH登录,一块为仅主机模式用于监听流量
最后点击确定,虚拟机的环境准备完成
系统的安装
选择开启此虚拟机
选择 Install CentOS 7
语言根据自身喜好,本次实验选择英文
进入虚拟机安装配置页面
启动虚拟机网卡,需记住第一张网卡的IP地址后续会用到
选择安装磁盘
时区选择Asia、Shanghai
创建root密码
安装完成后重启
流影的部署
使用SSH工具连接并使用root账户登录
创建本地yum源
> 创建名称为centos.repo的yum仓库文件cd /etc/yum.repos.d/rm -rf *vi centos.repo> 按a进入编辑然后输入以下内容[centos]name = centosbaseurl = file:///mntenabled = 1gpgcheck = 0> 按esc退出编辑> :wq保存
挂载镜像并完成安装vim与net-tools
> 挂载镜像mount /dev/cdrom /mnt/
> 清理yum缓存并重建yum仓库yum clean allyum makecache
> 安装vim与net-toolsyum -y install vimyum -y install net-tools
> 验证是否安装成功vim --versionifconfig
安装探针ly_probe
> 上传全部软件包
> 解压探针软件包tar zxf /root/lyprobe-relese-v1.0.0-x86_64.tar.gz> 进入目录cd /root/lyprobe-relese-v1.0.0-x86_64> 将主程序文件置于系统路径cp lyprobe /usr/local/bin/> 将依赖库文件置于系统路径cp -d liblyprobe* /usr/local/lib/> 将插件相关依赖库文件目录整体置于系统路径cp -rd plugins/ /bincp -rd plugins/ /usr/local/lib/lyprobe> 安装依赖环境yum -y install libpcap-devel> 验证依赖环境是否安装成功lyprobe --version
> 修改要监听的网卡配置文件cd /etc/sysconfig/network-scripts/> 查看本机的网卡配置文件名称ls
> 修改第二张网卡的配置文件vim ifcfg-ens33> 按esc退出编辑> :wq保存
> 重启网卡systemctl restart network> 查看网卡信息 ifconfig> 第二张网卡出现地址则正确
> 添加监听规则lyprobe -T "%IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FITST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TYPE %SRV_NAME %SRV_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %SRV_TIME %THREAT_TIME" -n 127.0.0.1:9995 -e 0 -w 32768 -k 1 -K /data/cap/3 -G -i ens33> 检查进程ps aux | grep probe
安装分析引擎ly_analyser
> 解压分析引擎软件包tar zxf /root/ly_analyser_release.v1.0.4.230706.tar.gztar zxf /root/ly_analyser_dependence.v1.0.0.221226.tar.gz> 进入目录cd /root/ly_analyser_dependence.v1.0.0.221226mv * /root/ly_analyser_release.v1.0.4.230706> 安装依赖环境yum -y install gcc gcc-c++ cmakeyum -y install bison flex json-c-develyum -y install ntpyum -y install boost-develyum -y install libcurl-develyum -y install mariadb-develyum -y install httpd stunnel rsync sysstat> 安装Agentcd /root/ly_analyser_release.v1.0.4.230706/bin/sh ./agent_deploy_new.sh
安装管理引擎ly_server
> 解压管理引擎软件包tar zxf /root/ly_server_release.v1.0.230325.tar.gztar zxf /root/ly_server_dependence.v1.0.0.221230.tar.gz> 进入目录cd /root/ly_server_dependence.v1.0.0.221230mv * /root/ly_server_release.v1.0.230325> 安装依赖环境yum -y install mariadb-serveryum -y install MySQL-pythonyum -y install python-setuptools> 安装Agentcd /root/ly_server_release.v1.0.230325/bin/bash ./server_deploy_new.sh
> 回车
> 输入Y> 输入密码
> 输入Y
> 输入密码
> 检查服务ll /Server/ll /Server/bin
安装可视化ly_vis
> 安装依赖环境yum -y install unzip> 解压可视化软件包unzip 开源版.zip> 移动配置文件mv /root/build/ /Server/www/ui
> 检查配置文件ll /Server/wwwll /Server/www/ui
测试流影
> 浏览器输入http://本机IP:18080/ui/> 管理员账号:admin> 密码LoginLY@2016
总结
感谢流影将此项目开源,能有机会接触到这么全面的流量分析平台。现如今的网络时代,越早的发现入侵扫描活动,越能及时采取措施,阻断入侵者进一步实施后续的攻击和破坏,避免损失。
下期实验将通过在网络中发起扫描来进一步展示平台的可视化功能。
流影—开源网络流量可视化分析平台(二)