0

Demo phân tích tấn công dos với SiLK và python

21 0 0
  • Demo phân tích tấn công dos với SiLK và python

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Tài liệu liên quan

Thông tin tài liệu

Ngày đăng: 14/10/2021, 19:19

Mục lục 1.Giới thiệu SiLK: 2.The SiLK Flow Repository .3 2.1 Bản ghi lưu lượng mạng 2.2 Tạo thu thập lưu lượng mạng 2.3 Nơi thu thập liệu lưu lượng mạng Bộ công cụ SiLK 4.Cách sử dụng SiLK để phân tích .7 4.1 Single-path Analysis 4.2 Multi-path Analysis .7 4.3 Exploratory Analysic (Phân tích thăm dị) Quy trình làm việc để phân tích SiLK 5.1 Công thức(thu thập thông tin) 5.2 Bước Model .10 5.3 Test 10 5.4 Phân tích 11 5.5 Lọc .11 5.6 Áp dụng quy trình làm việc SiLK 11 6.Demo 12 6.1 Cài đăt SiLK 12 6.2.Phân tích SiLK 12 6.2.1.Thu thập thông tin .12 6.2.2.Model 13 6.2.3Test 14 6.2.4.Phân tích .15 6.2.5.Tinh chỉnh 16 7.Demo phân tích cơng Dos với SiLK python .17 7.1 Giới thiệu môi trường lab 17 7.2 Các bước demo 17 Tổng kết 21 Tài liệu tham khảo: 21 1.Giới thiệu SiLK: SiLK(System for Internet Level Knowledge): -SiLK phần mềm mã nguồn mở nhóm Network Situational Awareness(Net SA) CERT để truy vấn phân tích liệu NetFlow Bộ SiLK cho phép truy vấn nhanh chóng hiệu lưu lượng mạng lớn theo thứ tự để xác định tượng tổng hợp phức tạp trích xuất kiện riêng lẻ -SiLK thực sở liệu dịng lệnh Mỗi cơng cụ thực truy vấn cụ thể,thao tác tổng hợp liệu lệnh kết nối với để tạo kết Bằng cách kết nối nhiều ghi dọc theo đường ống, SiLK cho phép nhà phân tích tạo lệnh phức tạp mà liệu trường dọc theo nhiều kênh lúc Các nhà phân tích mạng cần xây dựng viễn cảnh liên tục lưu lượng truy cập qua mạng họ Điều nàyphối cảnh thường xây dựng dựa thông tin lưu lượng truy cập (như khối lượng, thời gian giao tiếp đường dẫn 2.The SiLK Flow Repository 2.1 Bản ghi lưu lượng mạng NetFlow giao thức phát triển Cisco sử dụng để thu thập thông tin lưu lượng truy cập qua thiết bị mạng.Các thông tin thu thập thường bao gồm:Địa IP nguồn đích,cổng nguồn đích,giao thức lớp vận chuyển ,loại dịch vụ giao diện định tuyến SiLK sử dụng thuộc tính sau để tạo liệu lưu lượng mạng: -Địa IP nguồn -Địa IP đích -Cổng nguồn -Cổng đích -Giao thức lớp vận chuyển Flow Record:bản ghi lưu lượng.Một ghi lưu lượng cung cấp nhãn số liệu thống kê gói bao phủ luồng mạng,bao gồm luồng,tổng số byte,thời lượng thời gian gói đó.Một tệp lưu lượng loạt ghi lưu lượng.Bản ghi lưu lượng gồm trường()Mỗi trường xác định tên số sử dụng thay cho Ví dụ:trường địa IP nguồn xác định tên trường đó(sIP) số trường nó(1).Tên trường khơng phân biệt chữ hoa chữ thường Mỗi ghi lưu lượng tạo SiLK nhỏ nhât 22 byte sensor thu thập nhiều GB hồ sơ lưu lượng mạng mạng bận rộn Một số trường lưu hồ sơ thời gian bắt đầu thời lượng.Một số không lưu trữ có nguốc từ thơng tin trường lưu trữ kết hợp trường lưu trữ ghi liệu bên ngồi.Ví dụ:thời gian kết thúc tính cách thêm thời gian bắt đầu thời lượng.Mã quốc gia nguồn lấy từ địa IP nguồn bảng ánh xạ địa IP thành mã quốc gia 2.2 Tạo thu thập lưu lượng mạng Dữ liệu thu thập hiển thị dạng ghi lưu lượng mạng Một ghi lưu lượng mạng tạo cảm biến tồn mạng doanh nghiệp Thơng thường, phần lớn cảm biến định tuyến Các cảm biến chuyên dụng yaf2 sử dụng nguồn cấp liệu từ định tuyến khơng có sẵn, chẳng hạn mạng gia đình máy chủ cá nhân yaf sử dụng để tránh vật việc thực lưu lượng mạng định tuyến sử dụng định dạng liệu lưu lượng mạng không dành riêng cho thiết bị như IPFIX3 Nó cung cấp thêm quyền kiểm soát việc tạo ghi lưu lượng mạng chuyển đổi liệu gói sang lưu lượng mạng ghi lại thơng qua tập lệnh tự động hóa q trình Một cảm biến tạo ghi lưu lượng mạng cách nhóm gói có liên quan chặt chẽ với theo thời gian có nhãn lưu lượng chung Có liên quan chặt chẽ với xác định cảm biến thường đặt khoảng 30 giây Trường hợp sơ đồ tạo ghi lưu lượng tất gói cho luồng liên tục không bị gián đoạn Trường hợp sơ đồ tạo dòng chảy hồ sơ số dòng chảy thu thập song song Trường hợp sơ đồ tạo ghi lưu lượng hết thời gian Lưu lượng mạng xấp xỉ lưu lượng Bộ định tuyến cảm biến khác đốn định gói thuộc luồng nào.Những đốn khơng hồn hảo; có số tượng tiếng phiên kéo dài chia thành nhiều ghi lưu lượng: Hết thời gian hoạt động nguyên nhân phổ biến luồng mạng bị chia Hồ sơ lưu lượng mạng lọc từ nhớ cảm biến khởi động lại sau thời gian hoạt động định cấu hình Kết tất mạng hồ sơ lưu lượng có giới hạn thời lượng chúng phụ thuộc vào cấu hình cục Một điển hình giá trị khoảng 30 phút Xóa đệm nguyên nhân phổ biến luồng mạng phân chia cho ghi lưu lượng mạng thu thập định tuyến Mạng luồng chiếm tài nguyên nhớ định tuyến định tuyến thường xun xóa đệm mạng dịng chảy cho mục đích vệ sinh Việc xóa nhớ cache diễn khoảng 30 phút lần Một chuỗi luồng mạng khoảng thời gian dài cho thấy nhiều luồng mạng chấm dứt đặn Khoảng thời gian 30 phút, kết việc xóa đệm Sự cạn kiệt định tuyến gây luồng mạng phân chia cho luồng thu thập định tuyến Một định tuyến có giới hạn tài nguyên xử lý nhớ dành cho lưu lượng mạng Trong thời gian căng thẳng, đệm lưu lượng lấp đầy trống thường xuyên số lượng luồng mạng thu thập định tuyến Sử dụng cảm biến lưu lượng chuyên dụng tránh giảm thiểu vấn đề cạn kiệt đệm định tuyến Tất thứ trường hợp liên quan đến luồng mạng đủ dài để phân chia Như chúng tơi trình bày sau, phần lớn luồng mạng thu thập biên giới mạng doanh nghiệp nhỏ ngắn hạn 2.3 Nơi thu thập liệu lưu lượng mạng Mặc dù mạng phức tạp phân tách ghi lưu lượng dựa nơi ghi thu thập (ví dụ:biên giới mạng, điểm biên giới, điểm khác), việc triển khai chung SiLK hệ thống thu thập mặc định thu thập viền mạng, Hình 1.2.5 Mặc định thực có lớp cảm biến: tất Việc phân tách liệu thực theo loại lưu lượng Hình 1.2: Các loại lưu lượng mặc định cho cảm biến Công cụ SiLK rwsiteinfo tạo danh sách cảm biến sử dụng cho cài đặt cụ thể, phản ánh cấu hình Bộ cơng cụ SiLK Bộ phân tích SiLK bao gồm 60 cơng cụ UNIX dịng lệnh (bao gồm cơng cụ thu thập luồng) nhanh chóng xử lý hồ sơ lưu lượng thao tác liệu phụ trợ Các công cụ giao tiếp với với công cụ kịch thông qua đường ống (cả không tên đặt tên) qua tệp trung gian Phân tích SiLK thường bị ràng buộc đầu vào / đầu (ràng buộc I / O) Thời lượng cần thiết để thực phân tích tỷ lệ thuận với lượng liệu đọc từ đĩa Mục tiêu cơng cụ SiLK giảm thiểu thời gian truy cập Một số cơng cụ SiLK thực chức tương tự dòng lệnh UNIX phổ biến công cụ ngôn ngữ kịch cấp cao Perl Tuy nhiên, công cụ SiLK xử lý liệu dạng phi văn (nhị phân) sử dụng cấu trúc liệu tối ưu hóa đặc biệt để phân tích Do đó, hầu hết phân tích SiLK bao gồm chuỗi hoạt động sử dụng công cụ SiLK Những hoạt động thường bắt đầu gọi rwfilter ban đầu để lấy liệu quan tâm kết thúc gọi cuối đến văn công cụ đầu rwstats rwuniq để tóm tắt liệu để trình bày Giữ liệu nhị phân nhiều bước tốt giúp cải thiện hiệu xử lý Đây ghi nhị phân có cấu trúc tạo cơng cụ SiLK dễ dàng phân tách mà khơng cần phân tích cú pháp, trường chúng nhỏ gọn trường định dạng sẵn sàng cho việc tính tốn, chẳng hạn tính tốn mạng Theo số cách, thật phù hợp nghĩ SiLK công cụ nhận thức Kho lưu trữ ghi cung cấp khối lượng liệu lớn công cụ cung cấp khả cần thiết để xử lý liệu 4.Cách sử dụng SiLK để phân tích Bộ cơng cụ SiLK cung cấp cơng cụ mạnh mẽ để tạo điều kiện thuận lợi cho tác vụ phân tích lưu lượng mạng Nó thiết kế để linh hoạt việc hỗ trợ phương pháp phân tích Theo thời gian, nhà phân tích khác sử dụng nhiều cách tiếp cận việc sử dụng SiLK Phần thảo luận ba phương pháp hữu ích phân tích hồ sơ lưu lượng mạng 4.1 Single-path Analysis Cách tiếp single-path analysis cách tiếp cận sử dụng phổ biến để phân tích hành vi mạng Nó sử dụng chuỗi lệnh để tạo kết phân tích Theo cách tiếp cận này, nhà phân tích hình thành giả thuyết ban đầu, xây dựng truy vấn để lấy lưu lượng quan tâm, tạo bảng, tóm tắt, loạt để lập hồ sơ lưu lượng này, sau diễn giải hồ sơ số thơng qua biểu đồ Lặp lại sử dụng cần (ví dụ: để tinh chỉnh truy vấn ban đầu), khơng cần thiết cho nhiều đơn giản hơn, nhiều phân tích đơn giản Cách tiếp cận sử dụng để nhận dạng dịch vụ, kiểm kê thiết bị mạng, phản hồi cố sử dụng để học 4.2 Multi-path Analysis Cách tiếp cận multi-path analysis sử dụng chuỗi công cụ thường liên quan đến số lựa chọn thay thường bao gồm lặp lặp lại qua số bước Mặc dù cách tiếp cận đa đường thực thủ cơng, thường xuyên liên quan đến kịch để chọn lựa chọn thay dựa loại liệu sau lặp lại lưu lượng truy cập mong muốn lập tóm tắt mong muốn sản xuất Các lựa chọn thay sử dụng theo yêu cầu cho nhóm xử lý hồ sơ theo cách khác để đạt kết mà hồ sơ hành vi quan tâm Cách tiếp cận sử dụng để kiểm tra lưu lượng sử dụng số giao thức, giao thức theo sau thay thiết lập đặc điểm, để thực mục tiêu Ví dụ: có nhiều cách mà phần mềm độc hại đèn hiệu vào mạng huy kiểm sốt Mỗi cách kiểm tra riêng thông qua chuỗi lệnh SiLK, tạo tập hợp kết góp phần nhận thức tổng thể đèn hiệu 4.3 Exploratory Analysic (Phân tích thăm dị) Phân tích thăm dị cách tiếp cận mở để xây dựng, phân tích tiến hành phân tích mạng Nó sử dụng phân tích đường nhiều đường khối xây dựng để điều tra bất thường lưu lượng mạng Những loại phân tích đơn giản giúp chúng tơi xây dựng kịch khác nhau, điều tra thay giả thuyết khám phá nhiều khía cạnh liệu Phân tích thăm dị ban đầu thủ cơng tự nhiên, chuyển sang phân tích theo kịch để dễ lặp lại cho kết đặn Cách tiếp cận sử dụng cho tượng phức tạp nổi, nhiều số cần kết hợp để đạt hiểu biết Một ví dụ phương pháp phân tích nghiên cứu việc lọc liệu, thực theo nhiều cách khác Mỗi phương thức tẩy tế bào chết định hình cách sử dụng số kết tất phân tích kết hợp để tạo hiểu biết tổng hợp lưu lượng truy cập chuyển đến nhóm địa đáng ngờ khác Quy trình làm việc để phân tích SiLK Các phân tích SiLK chia sẻ quy trình cơng việc chung, hiển thị Hình 1.5 Trong đường đơn, đa đường thám hiểm phân tích kết hợp bước khác quy trình cơng việc này, tất tn theo trình tự chung 5.1 Công thức(thu thập thông tin) Bước Công thức điều tra bối cảnh kiện Về bản, liên quan đến việc thu thập thông tin để xác định thuộc tính mạng, hoạt động kiện Mạng lưới rộng bao nhiêu? Thế có cấu trúc? Cảm biến mạng đặt đâu? Sự kiện xảy nào? Có liên quan đến cụ thể khơng cảm biến, địa IP, máy chủ, không gian mạng, cổng, giao thức, v.v Làm phân tích trước Mạng lưới cung cấp nhìn sâu sắc? Thơng tin khơng đầy đủ thời điểm này, đóng vai trị điểm khởi đầu cho đưa phân tích thiết lập phạm vi Chúng ta sử dụng để hình thành giả thuyết cho mạng hành vi Giả thuyết đóng vai trị sở phân tích chúng tơi Trong phân tích thăm dị tinh vi hơn, hình thành nhiều kịch giả thuyết để điều tra phân tích Thơng tin lượm lặt từ việc khám phá bối cảnh kiện giúp thiết lập hành vi mạng nên bao gồm (hoặc loại trừ khỏi) phân tích chúng tơi Chúng ta sử dụng thông tin để xây dựng truy vấn để chọn ghi lưu lượng mạng phân vùng từ kho lưu trữ SiLK tệp lưu trữ Truy vấn thường kết hợp thông tin nơi lưu lượng thu thập, ngày thu thập liệu hướng lưu lượng Trong cộng đồng SiLK, lựa chọn truy vấn thường gọi kéo liệu Phân vùng áp dụng thử nghiệm cho ghi lưu lượng chọn để phân tách (hoặc phân vùng) chúng thành danh mục để biết thêm kiểm tra, điều tra Một thử nghiệm mặc định cung cấp với SiLK Nó bao gồm địa IP, cổng, giao thức, thời gian khối lượng (Nếu thử nghiệm bổ sung cần thiết để phân tích, cơng cụ SiLK mở rộng thông qua plugin để cung cấp cho họ.) Sự kết hợp lựa chọn phân vùng (thường gọi lọc ) thực với lệnh rwfilter Các hồ sơ đáp ứng tiêu chí lọc gửi để vượt qua điểm đến Hồ sơ làm không gửi đến điểm đến thất bại Cả hai kết hợp vào tất điểm đến Điều cung cấp tùy chọn linh hoạt để lưu trữ kết truy vấn tệp sử dụng đường ống để gửi chúng đến lệnh khác để xử lý 5.2 Bước Model Bước model tóm tắt liệu điều tra hành vi quan tâm Hành vi mạng Trong trình hoạt động bình thường? Điều xảy kiện? Những mơ hình hành vi xác định? Chúng có giống với quan sát kiện khác không? Bằng cách kiểm tra thông tin thu thập Xây dựng bước, bạn đưa mơ hình kiện có lẽ giải thích diễn SiLK cung cấp nhiều cơng cụ để kiểm tra liệu lưu lượng mạng liên quan đến kiện Mỗi công cụ đưa quan điểm khác liệu xem xét độc lập kết hợp để phân tích Ví dụ: SiLK bao gồm cơng cụ để tạo tổng kết lưu lượng theo chuỗi thời gian (lệnh rwcount), thống kê tóm tắt điện tốn (lệnh rwstats) tổng hợp giá trị thuộc tính luồng cho khoảng thời gian người dùng định nghĩa (lệnh rwuniq) Bước thực tay Đối với phân tích có phạm vi lớn hơn, tự động hóa cách sử dụng shell tập lệnh Python 5.3 Test Bước Kiểm tra chạy mơ hình mà bạn tạo tay cách thực thi tập lệnh shell Python Điều cung cấp cho bạn hội để kiểm tra tiến trình phân tích SiLK bao gồm lệnh để xếp ghi lưu lượng theo khóa người dùng xác định (lệnh rwsort), tạo tập hợp địa IP từ ghi lưu lượng (rwset lệnh liên quan nó) tạo nhóm ghi theo tiêu chí khác (rwbag lệnh liên quan nó) Các lệnh giúp bạn tổ chức xuất từ lệnh SiLK khác lưu để sử dụng tiếp 5.4 Phân tích Bước Phân tích xem xét kết bước trước Những kết cho biết kiện này? Những hành vi xác định? Những loại kiện họ liên quan đến? Những mối quan hệ xác định dịng chảy? Các giả thuyết ban đầu cịn giữ? Chúng ta tìm loại bỏ sai tích cực tiêu cực sai? Bước bao gồm kiểm tra giải thích đầu từ cơng cụ phân tích đề cập trước SiLK dịch ghi lưu lượng nhị phân thành văn để phân tích với gói đồ họa, bảng tính tốn học cơng cụ (lệnh rwcut) 5.5 Lọc Bước Tinh chỉnh cải thiện phân tích Chúng tơi giải thích thành cơng kiện này? Nếu khơng, có gặp gỡ vấn đề gì? Chúng tơi hiểu bối cảnh kiện? Có phải truy vấn chúng tơi vào kho lưu trữ SiLK nhiều liệu? Chúng ta có cần đào sâu vào liệu bước thử nghiệm mơ hình hóa khơng? Chúng ta có nên xem xét lại kết để xem liệu có bỏ lỡ giải thích sai mơ hình hành vi quan trọng khơng? Các bước trước quy trình làm việc kết hợp theo mơ hình lặp Ví dụ, bạn muốn cô lập ghi lưu lượng quan tâm khỏi lưu lượng mạng không liên quan cách thực truy vấn bổ sung với lệnh rwfilter lặp lại bước phân tích Điều thu hẹp liệu để tập trung vào khoảng thời gian hành vi quan tâm loại bỏ hồ sơ lưu lượng không cần thiết Quy trình cơng việc mơ tả phần cung cấp cho chúng tơi tính linh hoạt để bắt đầu khám phá liệu với tổng quát câu hỏi, áp dụng nhiều phân tích cho câu hỏi hồn thành quy trình cơng việc với phân tích lặp lại Tuy nhiên, linh hoạt kèm với đánh đổi Các truy vấn thường tăng tỷ lệ thuận với thời gian cửa sổ lưu lượng ghi thuộc tính phân tích Do đó, mơ hình xác phân tích nên được sản xuất để giảm thiểu kết truy vấn 5.6 Áp dụng quy trình làm việc SiLK Quy trình cơng việc SiLK áp dụng theo cách khác để đáp ứng u cầu nhóm phân tích Các nhóm mà chủ yếu liên quan đến hoạt động mạng thường tập trung vào giám sát dịch vụ mạng xác nhận thiết bị Các nhóm phản ứng cố thường tập trung vào thay đổi hành vi mạng liên quan đến cố Các nhóm cải tiến bảo mật thường tập trung vào việc hiểu mạng có vấn đề hành vi thay đổi xác định tác động cải tiến Mặc dù SiLK cung cấp tính hỗ trợ tất nhóm, cơng việc cần thiết để sử dụng chúng khác 6.Demo 6.1 Cài đăt SiLK  Tải tệp cấu hình cài đặt SiLK theo địa chỉ: Wget https://raw.githubusercontent.com/chrissanders/FlowBAT/master/support/silkonab ox.sh  Gán quyền để thực thi tệp với lệnh: chmod +x silkonabox.sh chạy lệnh sau để cài đặt: /silkonabox.sh  Sau cài đặt thành công ta thu kết version SiLK : 6.2.Phân tích SiLK 6.2.1.Thu thập thông tin  Lấy danh sách cảm biến với rwsiteinfo: Rwsiteinfo giúp: -Liệt kê mô tả tất cảm biến mạng -Đối với cảm biến cần quan tâm ,nó giúp liệt kê tất loại lưu lượng ,số lượng tệp liệu lưu trữ kho SiLK cho tưng loại lưu lượng thời gian bắt đầu … rwsiteinfo fields=sensor,describe-sensor cho ta thấy cảm biến tên dạng txt rwsiteinfo sensor=S0 fields=type,repo-file-count,repo-start-date,repo-enddate:ở ta quan tâm đến cảm biến S0 với: –sensor:tên cảm biến cần kiểm tra, fields hiển thị thông tin loại lưu lượng mạng liên kết với S0 repo-file-Count:Số lượng tệp mà S) lưu trữ kho SiLK cho loại lưu lượng mạng Mỗi tệp đại diện cho liệu ghi lại repo-start-date Ngày ngày tệp cũ mà S1 lưu trữ kho SiLK repo-end-date Ngày ngày tệp gần mà S1 lưu trữ kho SiLK  Chọn ghi lưu lượng với rwfilter:Đây lệnh phổ biến đóng vai trị tảng để xây dựng mạng phân tích.Nó chọn ghi SiLK sau hướng đến tệp khác… Cấu trúc:rwfilter{selection|input}partition output Ví dụ: rwfilter start=2020/07/02T00 end=2020/07/02T23 sensor=S0 type=all any-address=192.168.189.132 pass=flows.rw -start,end:là khoảng thời gian để truy xuất ghi SiLK từ 00h ngày 02/07/2020 đến 23h ngày 02/07/2020 -sensor:cảm biến truy xuất S0 -any-address:thiết lập lọc đơn giản để phân vùng ghi lưu lượng mạng chọn liên quan đến địa IP 192.169.189.132 -pass tên tệp lưu trữ ghi chọn flows.rw 6.2.2.Model  Lưu lượng đặc trưng theo thời gian với rwcount:lệnh ghi lại hoạt động mạng khoảng thời gian (bin-size) mà ta ghi đếm số lượng ghi kích thước ghi gói cho luồng xảy thời gian địch giai đoạn rwcount bin-size=600 flows.rw Nó đếm khối lượng ghi thu từ flows.rw theo kích cỡ 10 phút  Hồ sơ lưu lượng với rwuniq Rwuniq cơng cụ đếm.Nó đọc ghi lưu lượng đếm ghi byte gói có trường cần kết hợp với rwfilter ví dụ lệnh sau 1.rwfilter flows.rw bytes=0-300 pass=stdout| rwuniq bin-time=3600 fields=stime,type values=records sort-output> low-byte.txt 2.rwfilter flows.rw bytes=300-100000 pass=stdout| rwuniq bin-time=3600 fields=stime,type values=records sort-output> medium-byte.txt 6.2.3Test  Xem thông tin file với rwfileinfo:hiển thị số lượng ghi tệp,kích thước cảu tệp lệnh tạo tệp Lệnh:rwfileinfo fields=count-records,file-size,command-lines flows.rw Ta thấy số ghi là:4903 kích thước tệp 255112 bytes có câu lệnh tạo tệp flows.rw hình  Sắp xếp ghi lưu lương với rwsort:là công cụ xếp tốc độ cao cho ghi SiLK ,nó đọc ghi nhị phân từ đầu vào tiểu chuẩn xuất ghi theo thứ tự trường người dung định rwsort flows.rw fields=dip,protocol,bytes reverse| rwcut fields=dip,protocol,bytes,stime num-recs=10 lệnh định thứ tự xếp dip,protocol byte từ tập flows.rw đầu rwsort đầu vào rwcut 6.2.4.Phân tích  Hiển thị ghi lưu lượng với rwcut:rwcut giúp dịch ghi lưu lượng mạng từ dạng nhị phân sang dạng văn đọc text: rwcut fields=sip,dip,sport,dport,protocol,stime num-recs=10 flows.rw:gồm tham số trường (fields )được hiển thị,thời gian bắt đầu dòng chảy,số ghi rwcut(num-recs)được hiển thị flows.rw tên tệp chứa ghi lưu lượng mạng  Sắp xếp ghi lưu lương với rwsort:là công cụ xếp tốc độ cao cho ghi SiLK ,nó đọc ghi nhị phân từ đầu vào tiểu chuẩn xuất ghi theo thứ tự trường người dung định rwsort flows.rw fields=dip,protocol,bytes reverse| rwcut fields=dip,protocol,bytes,stime num-recs=10 lệnh định thứ tự xếp dip,protocol byte từ tập flows.rw đầu rwsort đầu vào rwcut Giúp ta biết số byte gói tiêu chuẩn ,có byte nằm ngồi đường sở khơng  Hiển thị địa IP,số lượng thơng tin mạng với rwsetcat:Nó hiển thị địa IP IPset ,đếm số lượng điah IP thi thị thông tin mạng ,địa IP min,mã tóm tắt khác cho IPset rwsetcat print-statistics low-byte.set:chỉ định in tóm tắt IP IP tệp low-byte.set 6.2.5.Tinh chỉnh  Chuyển đổi địa IP thành tên miền với rwresole Lệnh thực tra cứu tên miền ngược danh sách IP để lấy tên máy chủ Nếu cơng in tên máy chủ khơng in địa IP.Lệnh đàu tiên sử dụng rwcut để tạo danh sách ip sau chuyển kết vào rwslove để tìm kiếm máy chủ với IP đích wcut fields=sip ,dip ,sport ,dport ,protocol num -recs =10 ipv6 -policy=ignore flows.rw | rwresolve rwcut fields=sip ,dip ,sport ,dport ,protocol num -recs =10 ipv6 -policy=ignore flows.rw | rwresolve ip-fields =2 7.Demo phân tích cơng Dos với SiLK python 7.1 Giới thiệu môi trường lab Môi trường lab gồm máy ảo cài vm ware, máy ảo công cài metasploit để công dos, máy ảo nạn nhân cài silk 7.2 Các bước demo  Khởi tạo cấu hình metasploit máy công  Test công thành công wireshark máy nạn nhân  Thu thập ghi netflow ứng với thời gian vừa công dos ghi tcp5.rw  Truy vấn số ghi theo thời gian qua lệnh rwcount  Parse liệu ghi json thư viện silk python, từ file json thư viện pyplot render biểu đồ tùy theo cấu hình mục đích phân tích Cụ thể với cơng dos, lựa chọn thơng số packet/s để phân tích cơng  Kết file testTCP5.html Từ biểu đồ sử dụng vào phân tích cơng Dos Tổng kết Tài liệu tham khảo: -https://tools.netsa.cert.org/silk/analysis-handbook.pdf -http://www.flowbat.com/installation.html -https://blog.because-security.com/t/netflow-data-analysis-with-silk-and-pandas/86 ... 7 .Demo phân tích cơng Dos với SiLK python 7.1 Giới thiệu môi trường lab Môi trường lab gồm máy ảo cài vm ware, máy ảo công cài metasploit để công dos, máy ảo nạn nhân cài silk 7.2 Các bước demo. .. https://raw.githubusercontent.com/chrissanders/FlowBAT/master/support/silkonab ox.sh  Gán quyền để thực thi tệp với lệnh: chmod +x silkonabox.sh chạy lệnh sau để cài đặt: /silkonabox.sh  Sau cài đặt thành công ta thu kết version SiLK : 6.2.Phân tích SiLK. ..1.Giới thiệu SiLK: SiLK( System for Internet Level Knowledge): -SiLK phần mềm mã nguồn mở nhóm Network Situational Awareness(Net SA) CERT để truy vấn phân tích liệu NetFlow Bộ SiLK cho phép truy
- Xem thêm -

Xem thêm: Demo phân tích tấn công dos với SiLK và python , Demo phân tích tấn công dos với SiLK và python