Maltrail, kötü amaçlı veya şüpheli etkinlikleri tespit etmek için tasarlanmış açık kaynaklı bir ağ trafiği algılama sistemidir. Trafiği, halka açık kara listelerin yanı sıra antivirüs raporlarından ve kullanıcı tanımlı kaynaklardan derlenen statik listelere göre kontrol ederek çalışır. Bu “izler” alan adlarını, URL’leri, IP adreslerini ve hatta HTTP Kullanıcı Aracısı değerlerini içerebilir. Üstelik Maltrail, yeni ortaya çıkan kötü amaçlı yazılımlar gibi yeni veya bilinmeyen tehditleri tanımlamak için isteğe bağlı buluşsal yöntemler kullanabilir.
Maltrail bir Trafik -> Sensörü takip eder <-> Sunucu <-> İşleri basit ama güçlü tutan istemci mimarisi.
Ağ etkinliğini izleyen küçük, bağımsız bir bileşen olan sensörle başlar. Sensörler genellikle bir SPAN veya ayna bağlantı noktasına bağlı Linux sistemlerinde çalışır veya bir Linux köprüsü üzerinde sıralı olarak yerleştirilebilirler. Bal küpü ortamında olduğu gibi kendi başlarına da çalışabilirler. Sensörün görevi ağ trafiğini izlemek ve kara listeye alınmış alan adları, URL’ler veya IP adresleri gibi şüpheli her şeyi işaretlemektir. Bir şey tespit ettiğinde ayrıntıları, tüm etkinlik kayıtlarının saklandığı merkezi bir sunucuya gönderir.
Sensör ve sunucu aynı makinede çalışıyorsa (varsayılan ayar budur), veriler yerel olarak kaydedilir. Daha büyük ortamlarda sensörler, günlük verilerini UDP üzerinden uzak bir sunucuya gönderebilir.
Sunucu, arka uçtaki ağır yükü üstlenir. Tüm olay verilerini saklar ve raporlama web arayüzünü destekler. Varsayılan olarak hem sunucu hem de sensör birlikte çalışır, ancak işleri hızlı tutmak ve trafik izlemenin yavaşlamasını önlemek için raporlama aracı “şişman istemci” modeline dayanır. Bu, verileri işlerken ve görselleştirirken işin çoğunu web tarayıcınızın yaptığı anlamına gelir.
Bir raporu açtığınızda, sunucu seçilen 24 saatlik döneme ait olay günlüklerini tarayıcınıza sıkıştırılmış parçalar halinde gönderir. Tarayıcı daha sonra verileri işler ve binlerce olayı gecikmeden işleyebilecek temiz, kompakt bir raporda görüntüler.
Daha küçük veya daha basit kurulumlar için sunucuyu tamamen atlayabilirsiniz. Sensör her şeyi yerel olarak günlüğe kaydedebilir ve verileri manuel olarak inceleyebilir veya herhangi bir CSV görüntüleyiciyle açabilirsiniz.
Maltrail GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Help Net Security’nin reklamsız aylık bültenine abone olun. Buradan abone olun!