Maltrail v0.13.109: sistema di rilevamento del traffico dannoso

Maltrail è un sistema di rilevamento del traffico di rete sospetto o anomalo; utilizza black list disponibili al pubblico contenenti percorsi generalmente sospetti, insieme a percorsi statici compilati da vari rapporti AV, inoltre utilizza anche elenchi personalizzati definiti dall’utente, in cui il percorso può essere qualsiasi cosa dal nome di dominio (ad es. zvpprsensinaix.com per il malware Banjori), URL (ad es. http://109.162.38.120/harsh02.exe per eseguibile dannosi), indirizzo IP (ad es. 185.130.5.231 per attaccante noto) o valore dell’intestazione Utente-Agente HTTP (ad es. sqlmap per injection SQL e strumento di acquisizione del database). Inoltre, utilizza meccanismi euristici avanzati (opzionali) che possono aiutare a scoprire minacce sconosciute (ad es. nuovi malware).

Maltrail si basa sull’architettura client Traffic -> Sensor <-> Server <->. Il sensore è un componente autonomo in esecuzione sul nodo di monitoraggio (ad es. Piattaforma Linux connessa passivamente alla porta SPAN / mirroring o in linea su ponte Linux) o sulla macchina Honeypot dove “monitora” il traffico in transito per voci presenti nellablack list (ovvero nomi di dominio, URL e / o IP). In caso di corrispondenza positiva, invia i dettagli dell’evento al server (centrale) in cui sono memorizzati all’interno della directory di registrazione appropriata (ovvero LOG_DIR descritto nella sezione Configurazione). Se Sensor viene eseguito sulla stessa macchina del server (configurazione predefinita), i registri vengono archiviati direttamente nella directory di registrazione locale. Altrimenti, vengono inviati tramite i messaggi UDP al server remoto (ovvero LOG_SERVER descritto nella sezione Configurazione).

Il ruolo principale del server è archiviare i dettagli dell’evento e fornire supporto back-end per l’applicazione web di reporting. Nella configurazione predefinita, il server e il sensore funzioneranno sullo stesso computer. Pertanto, per prevenire potenziali interruzioni delle attività dei sensori, la parte di reporting front-end si basa sull’architettura “Fat client” (ovvero tutta la post-elaborazione dei dati viene eseguita all’interno dell’istanza del browser Web del client). Gli eventi (ovvero le voci del registro) per il periodo scelto (24 ore) vengono trasferiti al Cliente, in cui l’applicazione Web di reporting è la sola responsabile della parte di presentazione. I dati vengono inviati al client in blocchi compressi, dove vengono elaborati in sequenza. Il rapporto finale viene creato in una forma altamente condensata, praticamente consentendo la presentazione del numero praticamente illimitato di eventi.

Print Friendly, PDF & Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.