安全产品学习

方向

先明确方向还是得看招的人的，已知部分方向为：

• 入侵检测（基于主机的HIDS和基于网络的NIDS）
• 蜜罐
• waf
• 防火墙
• 日志与审计安全
• 漏洞扫描系统（web、软件、iot等）
• 端点检测和响应解决方案 （EDR）和端点保护平台（EPP）

下面的可以看来了解一下

入侵检测（基于主机的HIDS和基于网络的NIDS）

内容有所参考你需要得开源入侵检测系统都在这里

1. NIPS snort3/snort3: Snort++

• C++ 94.9%
• 免费付费区别是过滤规则，免费的规则来自于社区

体系结构：

• 数据包嗅探模块，主要负责监听网络数据包，并根据TCP/IP协议解析数据包。
• 预处理模块，1.包重组预处理器，它的作用是为了防止攻击信息被拆分到多个包中而 逃避了Snort的检测；2.协议编码预处理器，它的功能是把数据包协议解码成一个统一的格式，再传送给检测模块；3.协议异常检测预处器。
• 检测引擎模块，当预处理器把数据包送过来后，检测引擎将这些数据包与三维链表形式的检测规则进行匹配，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。
• 报警/日志模块，检测引擎将数据包传送给报警模块后，报警模块会根据规则定义（alert，log..）对其进行不同的处理（数据库，日志）。

上图和介绍 来源SNORT入侵检测系统 | WooYun知识库

2. NIDS和HIDS Security-Onion-Solutions/securityonion: Security Onion 2 - Linux distro for threat hunting, enterprise security monitoring, and log management

• Shell 73.6%
• 带有UI

包罗万象

Security Onion里面的组件包括：snort（入侵检测引擎）、suricata（入侵检测引擎）、bro（入侵检测分析系统）、sguil（入侵检测分析系统）、squert（前端显示）、snorby（前端显示）、wireshark（抓包）、xplico（流量审计）。大致分类如下：

• 完整数据包捕获；
• 基于网络和主机的入侵检测系统（HIDS和NIDS）;
• 强大的分析工具

上图和介绍来源 Security Onion介绍 - 知乎

3. NIDS OISF/suricata: Suricata git repository maintained by the OISF

• C 88.1%

Engine

• Network Intrusion Detection System (NIDS) engine
• Network Intrusion Prevention System (NIPS) engine
• Network Security Monitoring (NSM) engine 等等

4. zeek/zeek: Zeek is a powerful network analysis framework that is much different from the typical IDS you may know.

network security monitor (NSM)

• C++ 51.4% Zeek 44.6%

5. ossec/ossec-hids: OSSEC is an Open Source Host-based Intrusion Detection System that performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response.

• C 87.2%
• log analysis 日志分析
• file integrity checking 文件完整性检查
• policy monitoring 监控策略
• rootkit detection 加载到操作系统内核中的恶意软件 检测
• real-time alerting 实时提醒
• active response

图片来源开源EDR(OSSEC)基础篇- 03 - 目录结构与实用工具 - 知乎

6. Tripwire/tripwire-open-source: Open Source Tripwire®

• C++ 81.1%
• security and data integrity tool for monitoring and alerting on file & directory changes.

7. aide/aide: aide source code

• C 84.7%
• 被开发成Tripwire的一个替代品

蜜罐

初步了解可以看谈谈蜜罐（调研）与内网安全 - 知乎了解部分开源蜜罐

功能性可以参考 长亭谛听白皮书 默安-从蜜罐发展看攻击欺骗应用趋势

1. OpenCanary

Python, 依赖于twisted的python库实现 可以参考：

• web端 p1r06u3/opencanary_web: The web management platform of honeypot 但是用的python2.7
• opencanary二次开发(1)-日志格式 | pirogue

2. HFish

Go编写 参考：

• 官方文档 蜜罐服务说明
• 稍老HFish 蜜罐使用心得 | ciker
• 使用参考渗透测试-Hfish蜜罐的搭建与使用

WAF

可以直接看2021年十大开源waf - 知乎

防火墙

开源防火墙推荐 | 鐵血男兒的BLOG

一般人好像都推荐用Pfsense：免费开源的应用层防火墙 - FreeBuf网络安全行业门户

日志审计

allinurl/goaccess: GoAccess is a real-time web log analyzer and interactive viewer that runs in a terminal in *nix systems or through your browser.

• star 13.1K C 86.2%

推荐 | 10个好用的Web日志安全分析工具 - Bypass - 博客园

漏洞扫描系统

最好用的开源Web漏扫工具梳理 - FreeBuf网络安全行业门户

EDR

ComodoSecurity/openedr: Open EDR public repository

有vm可以试用TheHive-Project/TheHive: TheHive: a Scalable, Open Source and Free Security Incident Response Platform

详见Ten Open-Source EDR Tools to Enhance Your Cyber-Resilience Factor

蜜罐

实现相关

功能相关

溯源

bypass图，来自群内

与群友交流后，学习到了 溯源方法：

• 游览器UA识别
• ip
• 游览器端js执行
• webrtc
• jsonp 获取社交账户的信息 （如百度id）
• post message（类似jsonp）
• 连接软件的（如mysql客户端）../PermanentBox/mysql蜜罐客户端任意文件读取 摘录

游览器端js执行的一些骚操作：

• 主机设置proxy_pass到某个网站，nginx配置某个路径的js为本机的溯源js，这样没有蜜罐特征

反蜜罐识别

• 无痕游览器/防指纹游览器
• js识别
• iiiusky/AntiHoneypot-Chrome-simple: Chrome 蜜罐检测插件

针对../RelatedBox/mysql蜜罐识别 摘录进行反制

端口流量转发（透传ip）

来源 蜜罐项目-端口流量转发（透传ip）方案调研

感觉就是两机子建立gre隧道后，源机子设置DNAT（目标地址转换）将数据包转发到蜜罐中（或者蜜罐群的网关机子这种，使用点到多点GRE隧道），在docker中也可以实现透传ip的，接下来难点就是识别恶意流量了（倒）

Gre隧道

通用路由封装或 GRE 是一种协议，用于将使用一个路由协议的数据包封装在另一协议的数据包中。“封装”是指将一个数据包包装在另一个数据包中。GRE 是在网络上建立直接点对点连接的一种方法，目的是简化单独网络之间的连接。适用于各种网络层

** 例如**，假设一家公司需要在位于两个不同办公室的局域网之间建立连接。两个 LAN 都使用最新版本的互联网协议IPv6。但是，为了从一个办公网络到达另一个办公网络，流量必须通过一个有些过时的网络，仅支持较旧的 IPv4 协议。 借助 GRE，该公司可以将 IPv6 数据包封装在 IPv4 数据包中，然后便可通过此网络传输流量。回到那个类比，IPv6 数据包是汽车，IPv4 数据包是渡轮，而第三方网络则是水。

来源 什么是 GRE 隧道？| GRE 协议如何工作 | Cloudflare

× Mr.Be1ieVe's Treasure

真诚赞赏，手留余香

2元 5元 10元 50元 任意金额

2元

使用微信扫描二维码完成支付

• ← Previous Post
• Next Post →