xsec-traffic為一款輕量級的惡意流量分析程序，包括傳感器sensor和服務端server 2個組件。

sensor

sensor負責采集流量，然后發到server端，由server來檢測是否為惡意流量。

1. sensor支持采集TCP和UDP的五元組信息
2. 支持采集http請求信息
3. 支持采集同一局域網中其他機器的以上信息

Server

server端的功能為接收各sensor采集到的流程并判斷是否為惡意流量，其中：

1. IP五元組信息是通過查詢惡意IP庫來判斷的
2. http請求數據的檢測還在開發中（暫時會把所有取到的請求信息保存起來，理論上可支持檢測所有來自WEB端的攻擊類型，如注入、xss等）

使用說明

Server

server需要mongodb的支持，在啟動前需要事先準備一個有讀寫權限的mongodb賬戶，然后修改當前目錄下的配置文件conf/app.ini，樣例如下：

HTTP_HOST = 108.61.223.105
HTTP_PORT = 4433

DEBUG_MODE = TRUE
SECRET_KEY = xsec_secret_key

[EVIL-IPS]
API_URL = "http://www.xsec.io:8000"

[database]
DB_TYPE = mongodb
DB_HOST = 127.0.0.1
DB_PORT = 27017
DB_USER = xsec-traffic
DB_PASS = 7160c452342340787fasdfa5b0a9fe0
DB_NAME = xsec-traffic

1. HTTP_HOST和HTTP_PORT表示server端監聽的地址及端口
2. DEBUG_MODE表示以debug模式運行
3. SECRET_KEY為sensor與server通訊用的密鑰
4. EVIL-IPS部分為惡意IP庫的地址
5. database部分為mongodb的配置

啟動命令如下：

root@xsec:/data/golang/src/xsec-traffic/server# ./server 
[0000]  INFO xsec traffic server: DB Type: mongodb, Connect err status: 
NAME:
   xsec traffic server - xsec traffic server

USAGE:
   server [global options] command [command options] [arguments...]

VERSION:
   20171210

AUTHOR:
   netxfly 

COMMANDS:
     serve    startup xsec traffic server
     help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d               debug mode
   --server value, -s value  http server address
   --port value, -p value    http port (default: 1024)
   --help, -h                show help
   --version, -v             print the version
root@xsec:/data/golang/src/xsec-traffic/server# ./server serve
[0000]  INFO xsec traffic server: DB Type: mongodb, Connect err status: 
[0000]  INFO xsec traffic server: run server on 108.61.223.105:4433

1. serve參數表示直接啟動server服務器。

sensor

sensor端也支持配置，修改當前目前下的conf/app.ini即可，詳細的配置項如下：

; Sensor global config
DEVICE_NAME = en0
DEBUG_MODE = true
FILTER_RULE = tcp udp

[server]
API_URL = http://108.61.223.105:4433
API_KEY = xsec_secret_key

1. DEVICE_NAME表示需要采集流量的網卡名
2. DEBUG_MODE為Debug模式，正式使用時可關掉
3. FILTER_RULE為流量抓取規則，與wireshark的規則一致

sensor的命令行如下：

$ ./xsec_sensor
[0000]  INFO xsec traffic sensor: Device name:[en0], ip addr:[192.168.31.204], Debug mode:[true]
NAME:
   xsec traffic sensor - xsec traffic sensor, Support normal and arp spoof modes

USAGE:
   xsec_sensor [global options] command [command options] [arguments...]

VERSION:
   20171210

AUTHOR(S):
   netxfly 

COMMANDS:
     start    startup xsec traffic sensor
     arp      startup arp spoof mode
     help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d                debug mode
   --filter value, -f value   setting filters
   --length value, -l value   setting snapshot Length (default: 1024)
   --target value, -t value   target ip address
   --gateway value, -g value  gateway ip address
   --help, -h                 show help
   --version, -v              print the version

1. start 表示直接只采集本地的流量
2. arp模式為arpspoof模式，可以采集同一局域網下的其他機器的流量，詳細的命令行如下：

sudo ./xsec_sensor arp -t 192.168.31.215 -g 192.168.31.1

在啟動前需要安裝libpcap庫并將內核參數設為允許轉發，以下為3種OS的安裝、設置方法：

# OSX
sudo sysctl net.inet.ip.forwarding=1

# FreeBSD
sudo sysctl -w net.inet.ip.forwarding=1

# Linux
sudo sysctl -w net.ipv4.ip_forward=1

# Fedora
sudo dnf install -y libpcap-devel

# Debian/Ubuntu
sudo apt-get install -y libpcap-dev

# OSX
brew install libpcap

# FreeBSD
sudo pkg install libpcap

需要指定采集的目標與網關，其中采集的目標的語法與nmap的一致，支持以下幾種寫法：

10.0.0.1
10.0.0.0/24
10.0.0.*
10.0.0.1-10
10.0.0.1, 10.0.0.5-10, 192.168.1.*, 192.168.10.0/24

實戰演練

• 啟動server端

• 以正常模式啟動sensor端

啟動后可以看到我本地電腦的有道云音樂正在對外發包。

• 在小米路由器中查到我Mix2手機的IP地址如下：

• 將我的Mix2手機手工加到惡意IP庫中

• 以Arp模式啟動，用電腦采集同一lan下Mix2手機的流量

• 可以通過server的簡易后臺看到檢測結果：

• 以下為http 全部的請求記錄，等檢測功能開發完后會改為只記錄疑似攻擊的請求。

參考資料

1. https://github.com/google/gopacket/
2. https://github.com/malfunkt/arpfox
3. http://www.devdungeon.com/content/packet-capture-injection-and-analysis-gopacket