Maltrail это небольшая система обнаружения вредоносного и подозрительного трафика, написанная на Python.
Данная система работает по принципу черных списков. Полезна при анализе трафика локальной сети на аномалии и наличие вредоносного ПО.
Maltrail состоит из двух компонентов (сенсор и сервер), которые могут быть разнесены по разным серверам или виртуальным машинам.
При этом, для более полного сбора информации сенсор лучше устанавливать на SPAN-порт на которых зеркалируется весь трафик или на пограничное оборудование (например пограничный маршрутизатор, если он поддерживает установку стороннего ПО).
Сенсоров может быть несколько и они все будут отправлять информацию на сервер мониторинга Maltrail. При этом сенсоры могут находиться в различных сегментах сети или в разных сетях. Единственный минус – трафик между сервером и сенсорами никак не шифруется, поэтому вопрос безопасности передачи данного трафика стоит рассмотреть отдельно (например отдельный, изолированный VLAN).
Перейдем к настройке системы.
Для начала установим все требуемые пакеты:
sudo apt-get install python python-pcapy git
Теперь скопируем себе Maltrail с GutHub:
git clone https://github.com/stamparm/maltrail.git
Переместим Maltrail в /opt:
mv maltrail /opt
и перейдем в папку с Maltrail:
cd /opt/maltrail
Читать далее Maltrail. Система обнаружения вредоносного трафика →