0
0

流影---开源网络流量可视化分析平台(一)

介绍流影

流影:
官网:https://abyssalfish-os.github.io/
国内首个开源网络流量可视化分析平台
专注于网络行为分析识别和威胁行为追溯挖掘
提供轻量级网络行为可视化分析与安全态势感知综合解决方案
适用于入侵检测、攻防演练、威胁狩猎、网络安全态势感知等应用场景
看见网络通讯、看清网络行为、看懂网络威胁,守护每一位用户数字化安全发展之路

0

实验简介

本实验需具备Linux操作基础

系统环境

以下为官方推荐的系统版本,本实验使用的为CentOS7.9-2009-x64-Everything-2009.iso

操作系统基础服务权限CentOS7.9-2009-x64-Minimalhttpd、mariadb-serverroot

> 下载链接
http://mirrors.nju.edu.cn/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-Everything-2207-02.iso

网络环境

服务器IP端口描述采集分析eth1/无混杂模式流量镜像采集-eth0/内网IPTCP/22SSH服务--TCP/10081Server-Agent通讯--TCP/18080WebUI及API通信

软件环境

以下为官方提供的开源版软件包,其中分析引擎与管理引擎分别有两个软件包,需要全部下载

> 探针
https://gitee.com/abyssalfish-os/ly_probe/releases/download/v1.0.0/lyprobe-relese-v1.0.0-x86_64.tar.gz

> 分析引擎
https://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.4.230706/ly_analyser_release.v1.0.4.230706.tar.gz
https://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.0/ly_analyser_dependence.v1.0.0.221226.tar.gz

> 管理引擎
https://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0.230325/ly_server_release.v1.0.230325.tar.gz
https://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0.0/ly_server_dependence.v1.0.0.221230.tar.gz

> 可视化界面
https://gitee.com/abyssalfish-os/ly_vis/releases/download/v1.0.4/开源版.zip

实验流程

虚拟机配置

配置类型选择典型

1

安装来源选择稍后安装操作系统

2

客户机操作系统选择Linux并在版本中选择CentOS 7 64位

3

虚拟机名称和位置根据自身决定

4

磁盘容量分配大一些

5

最后点击完成

6

点击编辑虚拟机设置

7

根据自身电脑配置修改虚拟机配置并选择镜像文件

因实验需求,需额外添加一张网卡,一块设置为NAT用于本地SSH登录,一块为仅主机模式用于监听流量

最后点击确定,虚拟机的环境准备完成

8

系统的安装

选择开启此虚拟机

9

选择 Install CentOS 7

10

语言根据自身喜好,本次实验选择英文

11

进入虚拟机安装配置页面

12

启动虚拟机网卡,需记住第一张网卡的IP地址后续会用到

13

选择安装磁盘

14

时区选择Asia、Shanghai

15

创建root密码

16

安装完成后重启

17

流影的部署

使用SSH工具连接并使用root账户登录

18

创建本地yum源

> 创建名称为centos.repo的yum仓库文件
cd /etc/yum.repos.d/
rm -rf *
vi centos.repo

> 按a进入编辑然后输入以下内容
[centos]
name = centos
baseurl = file:///mnt
enabled =1
gpgcheck =0> 按esc退出编辑
>:wq保存

19

挂载镜像并完成安装vim与net-tools

20

> 挂载镜像
mount /dev/cdrom /mnt/

21

> 清理yum缓存并重建yum仓库
yum clean all
yum makecache

22

> 安装vim与net-tools
yum -y install vim
yum -y install net-tools

> 验证是否安装成功
vim --version
ifconfig

23
24

安装探针ly_probe

> 上传全部软件包

25

> 解压探针软件包
tar zxf /root/lyprobe-relese-v1.0.0-x86_64.tar.gz

> 进入目录
cd /root/lyprobe-relese-v1.0.0-x86_64

> 将主程序文件置于系统路径
cp lyprobe /usr/local/bin/> 将依赖库文件置于系统路径
cp -d liblyprobe*/usr/local/lib/> 将插件相关依赖库文件目录整体置于系统路径
cp -rd plugins//bin
cp -rd plugins//usr/local/lib/lyprobe

> 安装依赖环境
yum -y install libpcap-devel

> 验证依赖环境是否安装成功
lyprobe --version

26

> 修改要监听的网卡配置文件
cd /etc/sysconfig/network-scripts/> 查看本机的网卡配置文件名称
ls

27

> 修改第二张网卡的配置文件
vim ifcfg-ens33

> 按esc退出编辑
>:wq保存

28

> 重启网卡
systemctl restart network

> 查看网卡信息 
ifconfig

> 第二张网卡出现地址则正确

29

> 添加监听规则
lyprobe -T"%IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FITST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TYPE %SRV_NAME %SRV_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %SRV_TIME %THREAT_TIME"-n 127.0.0.1:9995-e 0-w 32768-k 1-K/data/cap/3-G-i ens33

> 检查进程
ps aux | grep probe

30

安装分析引擎ly_analyser

> 解压分析引擎软件包
tar zxf /root/ly_analyser_release.v1.0.4.230706.tar.gz
tar zxf /root/ly_analyser_dependence.v1.0.0.221226.tar.gz

> 进入目录
cd /root/ly_analyser_dependence.v1.0.0.221226
mv */root/ly_analyser_release.v1.0.4.230706> 安装依赖环境
yum -y install gcc gcc-c++ cmake
yum -y install bison flex json-c-devel
yum -y install ntp
yum -y install boost-devel
yum -y install libcurl-devel
yum -y install mariadb-devel
yum -y install httpd stunnel rsync sysstat

> 安装Agent
cd /root/ly_analyser_release.v1.0.4.230706/bin/sh ./agent_deploy_new.sh

31

安装管理引擎ly_server

> 解压管理引擎软件包
tar zxf /root/ly_server_release.v1.0.230325.tar.gz
tar zxf /root/ly_server_dependence.v1.0.0.221230.tar.gz

> 进入目录
cd /root/ly_server_dependence.v1.0.0.221230
mv */root/ly_server_release.v1.0.230325> 安装依赖环境
yum -y install mariadb-server
yum -y install MySQL-python
yum -y install python-setuptools

> 安装Agent
cd /root/ly_server_release.v1.0.230325/bin/bash ./server_deploy_new.sh

> 回车

32

> 输入Y> 输入密码

33

> 输入Y

34
35
36
37

> 输入密码

38
39

> 检查服务
ll /Server/
ll /Server/bin

40

安装可视化ly_vis

> 安装依赖环境
yum -y install unzip

> 解压可视化软件包
unzip 开源版.zip

> 移动配置文件
mv /root/build//Server/www/ui

> 检查配置文件
ll /Server/www
ll /Server/www/ui

41

测试流影

> 浏览器输入
http://本机IP:18080/ui/> 管理员账号:admin
> 密码LoginLY@2016

42
43

总结

感谢流影将此项目开源,能有机会接触到这么全面的流量分析平台。现如今的网络时代,越早的发现入侵扫描活动,越能及时采取措施,阻断入侵者进一步实施后续的攻击和破坏,避免损失。

下期实验将通过在网络中发起扫描来进一步展示平台的可视化功能。
流影—开源网络流量可视化分析平台(二)

标签: 开源 网络安全 linux
本文转载自: https://blog.csdn.net/idealion/article/details/131875528
版权归原作者 idealion 所有, 如有侵权,请联系我们删除。
登录后发布评论

“流影---开源网络流量可视化分析平台(一)”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

ISO26262功能安全核心思想及芯片安全设计实例

gitLab配置ssh

iStore实现 SmartDNS + AdGuard Home IP优选+广告屏蔽

Kestra 开源项目实战指南

SpringBoot(9)-Dubbo+Zookeeper

docker镜像源

ray集群部署vllm的折磨

文章导航