Pcap-Analyzer

更新说明

• Проект перенесён с Python2.X на Python3.X.
• Исправлены несколько ошибок.

Основные функции

1. Демонстрация основной информации о пакетах данных.
2. Анализ протокола пакетов данных.
3. Анализ потока пакетов данных.
4. Построение карты доступа IP с географическими координатами.
5. Извлечение соединений сеансов для определённых протоколов (WEB, FTP, Telnet).
6. Извлечение конфиденциальных данных из сеансов (пароли).
7. Простой анализ рисков безопасности в пакетах данных (атаки на WEB, взлом).
8. Извлечение файлов передачи или всех двоичных файлов для определённого протокола.

Эффект демонстрации

Главная страница:

Демонстрация основных данных:

Анализ протокола:

Поток анализа:

Карта доступа IP:

Извлечение сеанса:

Предупреждение об атаке:

Извлечение файла:

Процесс установки и развёртывания

• Среда выполнения: Python 3.5.X
• Операционная система: Linux (на примере Ubuntu 15.10)

1. Настройка среды Python (если Python 2.7 уже установлен в Ubuntu, то дополнительная установка Python не требуется)

Установка менеджера пакетов Python: sudo apt-get install python-setuptools python-pip

2. Установка сторонних зависимостей:

• sudo apt-get install tcpdump graphviz imagemagick python-gnuplot python-crypto python-pyx
• sudo pip3 install scapy
• sudo pip3 install Flask
• sudo pip3 install Flask-WTF
• sudo pip3 install geoip2
• sudo pip3 install pyx
• sudo pip3 install requests

3. Изменение конфигурационного файла

Обратите внимание на изменение местоположения каталога в файле config.py:

• UPLOAD_FOLDER = '/home/dj/PCAP/' — место сохранения загруженных файлов PCAP.
• FILE_FOLDER = '/home/dj/Files/' — местоположение для сохранения извлечённых файлов. Необходимо создать подкаталоги All, FTP, Mail, Web для хранения файлов разных протоколов.
• PDF_FOLDER = '/home/dj/Files/PDF/' — папка для сохранения файлов PCAP в формате PDF.

4. Установка сервера

• Сервер Gunicorn: pip3 install gunicorn
• Сервер Nginx: sudo apt-get install nginx
• Конфигурация Nginx: изменение файла /etc/nginx/nginx.conf, добавление кода в блок http{}:

server { 
listen 81; 
server_name localhost; 
access_log /var/log/nginx/access.log; 
error_log /var/log/nginx/error.log;

     location / {
        #root   html;
        #index  index.html index.htm;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header Host $http_host;
         proxy_pass http://127.0.0.1:8000;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }

5. Запуск системы:

• Переход в каталог системы: ../pcap-analyzer
• Запуск системы через сервер Gunicorn, команда: gunicorn -c deploy_config.py run:app
• На этом этапе доступ к системе возможен только локально по адресу: http://127.0.0.1:8000
• Запуск сервера Nginx: sudo service nginx start
• Теперь другие хосты также могут получить доступ к этой системе по адресу: http://IP-адрес сервера:81

Оптимизация анализа

Точность результатов анализа данных можно повысить, исправив конфигурацию.

• Замена файла ./app/utils/GeoIP/GeoLite2-City.mmdb с базой данных географических координат IP-адресов может улучшить точность карты IP-геолокации.
• Изменение отображения номеров стеков TCP/IP и соответствующих имён протоколов в каталоге ./app/utils/protocol/ может исправить результаты анализа протоколов.
• Исправление файла ./app/utils/waring/HTTP_ATTACK может повысить точность обнаружения атак HTTP в пакетах данных.