恶意网络流量模拟器-flightsim
2023-4-22 00:4:12 Author: LemonSec(查看原文) 阅读量:18 收藏

flightsim流量模拟器

Flightsim 是一个轻量级实用程序,用于生成恶意网络流量,并帮助安全团队评估安全控制和网络可见性。该工具执行测试来模拟 DNS 隧道、 DGA 流量、对已知活动 C2目的地的请求以及其他可疑流量模式。也可称为恶意网络流量模拟器。

flightsim安装

从 Releases 页面下载最新的 flightsim 二进制文件。该工具可以在任何环境(例如 Linux、 MacOS、 Windows)下使用 Golang 构建,如下所示:

go get -u github.com/alphasoc/flightsim/...

运行flightsim流量模拟器

$ flightsim --help
AlphaSOC Network Flight Simulator™ (https://github.com/alphasoc/flightsim)
flightsim is an application which generates malicious network traffic for securityteams to evaluate security controls (e.g. firewalls) and ensure that monitoring toolsare able to detect malicious traffic.
Usage:  flightsim [command]
Available Commands:  help        Help about any command  run         Run all simulators (default) or a particular test  version     Print version and exit
Flags:  -h, --help   help for flightsim
Use "flightsim [command] --help" for more information about a command

运行单个模块来生成恶意流量。要执行所有可用的测试,使用flightsim run,注意: 当运行 C2模块时,flightsim 将从网络犯罪跟踪器(Cybercrime Tracker)和 AlphaSOC API 中收集当前的 C2地址,因此需要外部互联网访问。

列出可用的模块flightsim run --help。要执行特定的测试,使用 flightsim run <module>,如下所示:

$ flightsim run --helpRun all simulators (default) or a particular test
Usage:  flightsim run [c2-dns|c2-ip|dga|hijack|scan|sink|spambot|tunnel] [flags]
Flags:  -n,                      number of hosts generated for each simulator (default 10)      --fast               run simulator fast without sleep intervals  -h, --help               help for run  -i, --interface string   network interface to use
$ flightsim run dga
AlphaSOC Network Flight Simulator™ (https://github.com/alphasoc/flightsim)The IP address of the network interface is 172.31.84.103The current time is 10-Jan-18 09:30:28
Time      Module   Description--------------------------------------------------------------------------------09:30:28  dga      Starting09:30:28  dga      Generating list of DGA domains09:30:30  dga      Resolving rdumomx.xyz09:30:31  dga      Resolving rdumomx.biz09:30:31  dga      Resolving rdumomx.top09:30:32  dga      Resolving qtovmrn.xyz09:30:32  dga      Resolving qtovmrn.biz09:30:33  dga      Resolving qtovmrn.top09:30:33  dga      Resolving pbuzkkk.xyz09:30:34  dga      Resolving pbuzkkk.biz09:30:34  dga      Resolving pbuzkkk.top09:30:35  dga      Resolving wfoheoz.xyz09:30:35  dga      Resolving wfoheoz.biz09:30:36  dga      Resolving wfoheoz.top09:30:36  dga      Resolving lhecftf.xyz09:30:37  dga      Resolving lhecftf.biz09:30:37  dga      Resolving lhecftf.top09:30:38  dga      Finished
All done! Check your SIEM for alerts using the timestamps and details above.

flightsim模块介绍

下面是该工具自带的模块包

模块名模块描述
c2-dns生成当前的C2目的地址列表,分别执行DNS请求
c2-ip随机连接10个当前列表中的C2 IP地址:端口,模拟攻击会话
dga使用随机标签和顶级域名模拟DGA流量
hijack通过ns1.sandbox.alphasoc.xyz测试DNS劫持
scan使用常见端口对10个随机RFC 1918地址进行端口扫描
sink对10个安全提供商的随机地址进行安全测试
spambot随机解析并连接互联网SMTP服务器,测试欺诈端口
tunnel生成DNS隧道请求并发送至*.sandbox.alphasoc.xyz

如何评估网络流量和标记异常?

同一个团队AlphaSOC也开源了另一个安全工具,主要用于评估网络流量和标记异常,它的名字叫nfr(Network Flight Recorder的缩写)。

nfr可工作于windows和linux上。nfr默认使用AlphaSOC分析引擎处理网络流量,所以你需要注册一个帐号获取api接口。具体使用详情可看这里:

https://github.com/alphasoc/nfr

侵权请私聊公众号删文

 热文推荐  

欢迎关注LemonSec
觉得不错点个“赞”、“在看“

文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247545687&idx=1&sn=4cff401c5751cc7b67cad47122a3ec92&chksm=f9e35c0cce94d51a1b8a439a2e4740a1588241fbc36ced451babb5770a02bcd0f924c480a448#rd
如有侵权请联系:admin#unsafe.sh