Linux

▶ Herramientas de análisis de tráfico de red a lo largo de la defensa de detección de defensa

Caronte Es una herramienta para investigar el tráfico de la red mientras que atrapa acontecimientos de ataque / defensa de bandera. Vuelva a conjuntar los packs TCP apresados en un fichero pcap para establecer nuevamente las conexiones TCP y investigar cada conexión para hallar patrones customizados. Los patrones se tienen la posibilidad de determinar como expresiones regulares o reglas concretas de protocolo. El desarrollo de comienzo de sesión se almacena en la banco de información y se puede observar por medio de una app web. Asimismo se da la Interfaz de programación de aplicaciones REST.

característica

  • Utilice docker-compose para disponer inmediatamente
  • Sin fichero de configuración, la configuración se puede cambiar mediante GUI o API
  • Los PCAP a investigar se tienen la posibilidad de cargar a través de curl De manera local o recóndita o a través de GUI
    • Asimismo puede bajar pcaps desde la GUI y ver todas y cada una de las estadísticas de escaneo para cada pcap
  • Puede hacer reglas para detectar conexiones que poseen cadenas concretas
    • La comparación de patrones se efectúa con expresiones regulares (regex)
    • Asimismo acepta expresiones regulares en formato UTF-8 y Unicode
  • La conexión se puede detectar por el género de servicio, reconocido por el número de puerto
    • Se tienen la posibilidad de conceder distintas colores a cada servicio.
  • Aptitud para filtrar conexiones por dirección, puerto, dimensión, tiempo, duración y reglas de coincidencia
  • La línea de tiempo exhibe estadísticas sobre múltiples valores medidos por minuto
    • Ciertos de estos indicadores son Conexiones_por_servicio, client_bytes_per_service, server_bytes_per_service, Duración_ tras el servicio, Reglas de partido
      • Con Reglas de partido Las métricas tienen la posibilidad de ser relaciones entre. estar Entrada de logoLanzamiento del logo
    • La línea de tiempo tiene dentro una ventana deslizante que se puede utilizar para buscar conexiones en un cierto intervalo de tiempo.
  • Términos de búsqueda avanzada, expresiones negativas, expresiones precisas, expresiones regulares, expresiones regulares negativas
    • Las buscas efectuadas se guardan y se tienen la posibilidad de reiterar en el instante.
  • Restituya de manera automática las conexiones HTTP detectadas
    • Las peticiones HTTP se tienen la posibilidad de copiar curl, fetchpython requests
    • La contestación HTTP comprimida (gzip / deflate) se descomprime de manera automática
  • Aptitud para exportar y ver contenido de conexión en una pluralidad de formatos, incluidos Hex y Base64
  • El contenido JSON se expone en el visor de árbol JSON y HTML se puede representar en una ventana separada
  • La regla de coincidencia está destacada en la visión de contenido relacionado
  • Acepta direcciones IPv4 y también IPv6
    • Si se asignan direcciones mucho más protectoras a equipos atacables, se tienen la posibilidad de usar direcciones CIDR

instalación

Hay 2 maneras de disponer Charon:

  • Utilice Docker y docker-compose, la manera mucho más rápida y fácil
  • Instale las dependencias de forma manual y compile el emprendimiento

Realizar con Docker

Todo cuanto debes realizar es:

  • Clona el repositorio, utiliza git clone https://github.com/eciavatta/caronte.git
  • dentro caronte Carpeta, realizar docker-compose up -d
  • Espere a que la imagen se compile y abra el navegador. http://localhost:3333

Instalación manual

Primero se tienen que disponer las dependencias:

Entonces, debe compilar el emprendimiento, que se compone de 2 partes:

  • Backend compilable go mod download && go build
  • Plataforma de trabajo compilable cd frontend && yarn install && yarn build

Antes de realizar Charon, comienza una instancia de MongoDB https://docs.mongodb.com/manual/administration/install-community/ sin autenticación. Tenga precaución de no lograr que el puerto MongoDB esté libre en el diseño pública.

Ejecute el fichero binario; de afuera ./caronte. Las opciones de configuración libres son:

-bind-address La dirección enlazada al servidor (predeterminado «0.0.0.0»)
-bind-port puerto de link del servidor (por defecto 3333)
-db-name El nombre de la banco de información a utilizar (predeterminado «charon»)
-Dirección de host de Mongo-MongoDB (por defecto «localhost»)
Puerto mongo de MongoDB (ya establecido 27017)

Hospedarse

La configuración se efectúa en tiempo de ejecución por medio de la GUI o API en el primer comienzo. Precisa modificar lo siguiente:

  • Estas server_address-La dirección IP de la PC vulnerable. Esta habría de ser la dirección de destino para todas y cada una de las conexiones en pcaps. Si cada servicio vulnerable tiene su IP, este factor asimismo admite una dirección CIDR. La dirección puede ser IPv4 o IPv6
  • Estas flag_regex: expresión regular para los indicadores que corresponden. En la mayoría de los casos, se da en la página de reglas del juego.
  • auth_required: Si es verdadero, habilite la autenticación básica para resguardar el escáner
  • Un opcional accounts Una pluralidad de credenciales de usuario autorizado

bajar ó dejar algo

El backend está escrito en lenguaje Go y desarrollado como un servicio. Da la Interfaz de programación de aplicaciones REST usada por interfaces escritas por React. La lista de API libres y sus explicaciones están libres aquí: https://aplicación.swaggerhub.com/apis-docs/eciavatta/caronte/WIP

Atrapa de pantalla

Aquí existen algunas screenshots que detallan las funcionalidades primordiales de la herramienta.

Ventana primordial con lista de comienzo de sesión y contenido de transmisión

Ventana primordial con línea de tiempo ampliada

Reglas y vista de servicios

Buscar y enseñar pcap

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba