枫少@KillBoy
899,9342字数 787阅读2分37秒阅读模式
AI智能摘要
想将你的蜜罐捕获的流量一键上传并深度分析吗?HoneyBot正是这样一款开源工具,它通过三个核心脚本,让你能轻松捕捉、上传并借助PacketTotal.com的云端能力,自动化分析网络数据包。无论是监控未知连接、批量筛查恶意PCAP文件,还是辅助恶意软件分析,这款工具都能显著提升你的安全研究效率。
— AI 生成的文章内容摘要
HoneyBot
HoneyBot是一款功能强大的网络流量捕捉、上传和分析框架,本质上HoneyBot可以实现基于云的PCAP分析,由PacketTotal.com驱动。
HoneyBot其实是由一系列脚本与代码库组成的,并且可以给广大研究人员提供网络数据包的捕捉与分析功能。当前版本的代码库提供了下列三个脚本:
1、capture-and-analyze.py - 对目标接口进行一段时间的数据捕捉,并上传捕捉到的数据以供后续分析。
2、upload-and-analyze.py - 将捕捉到的数据包上传至PacketTotal.com进行后续分析
3、trigger-and-analyze.py - 监听未知连接,并在建立连接时开始数据捕捉,完成捕捉后会自动上传并分析。
注意事项
使用该工具集所捕捉到的任何流量或数据包都将被上传并完全公开可获取。
限制条件
1、目前HoneyBot仅支持.pcap和.pcapng文件;
2、最大支持的数据包大小为6MB;
如需了解更多关于HoneyBot的信息,请参考PacketTotal.com。
工具使用场景
1、设置蜜罐环境,并直接将捕捉到的网络流量上传至PacketTotal.com以供分析;
2、分析个人的恶意PCAP库;
3、一次性判断数百个数据包是否具有恶意性;
4、自动分析/共享蜜罐环境捕捉到的数据包;
5、自动化恶意软件分析/分类;
依赖组件
1、必须安装WireShark,如果你是在基于linux的操作系统上使用HoneyBot的话,你可以直接安装t-shark:
apt-get install tshark
2、需要使用Python 3.5或更高版本;
3、在使用这些脚本之前,必须申请一个API密钥;
工具安装
pip install -r requirements.txt
python setup.py install
工具使用
capture-and-analyze.py
usage: capture-and-analyze.py [-h] [--seconds SECONDS] [--interface INTERFACE]
[--analyze] [--list-interfaces] [--list-pcaps]
[--export-pcaps]
Capture, upload and analyze network traffic; powered by PacketTotal.com.
optional arguments:
-h, --help show this help message and exit
--seconds SECONDS The number of seconds to capture traffic for.
--interface INTERFACE
The name of the interface (--list-interfaces to show
available)
--analyze If included, capture will be uploaded for analysis to
PacketTotal.com.
--list-interfaces Lists the available interfaces.
--list-pcaps Lists pcaps submitted to PacketTotal.com for analysis.
--export-pcaps Writes pcaps submitted to PacketTotal.com for analysis
to a csv file.
upload-and-analyze.py
usage: upload-and-analyze.py [-h] [--path PATH [PATH ...]] [--analyze]
[--list-pcaps] [--export-pcaps]
Upload and analyze .pcap/.pcapng files in bulk; powered by PacketTotal.com.
optional arguments:
-h, --help show this help message and exit
--path PATH [PATH ...]
One or more paths to pcap or directory of pcaps.
--analyze If included, capture will be uploaded for analysis to
PacketTotal.com.
--list-pcaps Lists pcaps submitted to PacketTotal.com for analysis.
--export-pcaps Writes pcaps submitted to PacketTotal.com for analysis
to a csv file.
trigger-and-analyze.py
usage: trigger-and-analyze.py [-h] [--interface INTERFACE] [--learn LEARN]
[--listen] [--capture-seconds CAPTURE_SECONDS]
[--list-interfaces] [--list-pcaps]
[--export-pcaps]
Listen for unknown connections, and begin capturing when one is made. Captures
are automatically uploaded and analyzed; powered by PacketTotal.com
optional arguments:
-h, --help show this help message and exit
--interface INTERFACE
The name of the interface (--list-interfaces to show
available)
--learn LEARN The number of seconds from which to build the known
connections whitelist. Connections in this whitelist
will be ignored.
--listen If included, we will begin listening for unknown
connections, and immediately starting a packet capture
and uploading to PacketTotal.com for analysis.
--capture-seconds CAPTURE_SECONDS
The number of seconds worth of network traffic to
capture and analyze after a trigger has fired.
--list-interfaces Lists the available interfaces.
--list-pcaps Lists pcaps submitted to PacketTotal.com for analysis.
--export-pcaps Writes pcaps submitted to PacketTotal.com for analysis
to a csv file.
项目地址
HoneyBot:【GitHub传送门】
日本 1F
上传的pcap全公开,怕泄密的慎用。
北京市 B1
@ 天穹咒术师 公开的真的有风险,最好先把敏感信息打码 😊
新疆乌鲁木齐市 2F
6MB大小限制有点尴尬,想抓大流量。
湖北省鄂州市 3F
我之前也用tshark配合脚本,省事。
贵州省贵阳市 4F
API钥匙申请过程好像挺繁琐的。
中国 5F
这个trigger脚本好像会误抓内部流量?
江苏省南京市玄武区 6F
这个工具太方便了,直接抓包上传。
韩国 B1
@ 潜意识漫游者 哈哈,懒人福音 😂,反正我也不怕被看
韩国 7F
之前搞过蜜罐,踩过这个坑
北京市 8F
有没有更简单的方案?
江苏省常州市 9F
我在Windows跑一次试试
日本 10F
6MB限制确实太低了,随便抓点TLS握手就超了。
北京市 11F
这玩意儿必须装tshark,没装的话脚本直接废了。
韩国 12F
trigger脚本误报问题怎么解决?之前用类似工具被误报搞疯了。
山东省淄博市 13F
有人试过在Windows跑成功吗?看评论区好像问题不少。
安徽省合肥市 14F
感觉这工具对新手不太友好,文档太简略了。
广东省潮州市 15F
哈哈,这玩意儿一键上传,真是懒人福音 😂
韩国 16F
感觉如果把抓到的包先本地分析再决定是否上传会更安全。
重庆市 B1
@ 狼狼啸啸 先本地审查再上传,我这流程挺省事的
泰国 B1
@ 狼狼啸啸 先本地分析再上传的想法不错,能降低泄露风险。
中国 17F
想问下,capture-and-analyze.py支持多网卡同时抓吗?
上海市 B1
@ 小狮子威威 好像只能单卡抓,想多网卡得分两次跑
印度尼西亚 B1
@ 小狮子威威 目前脚本只单卡抓,想多卡得自行改代码。
江西省九江市 18F
我之前在实验室部署蜜罐,用了类似的脚本,结果发现误报很多,后期要仔细过滤才行。
浙江省台州市 B1
@ 栀子花香 误报确实烦人,建议加个白名单过滤步骤。
日本 19F
抓到的流量直接上传,感觉有点冲动。
浙江省 20F
6MB上限实在太低,想抓大流量根本不行。
广东省广州市 B1
@ 狡猾狼 我也碰到过,抓大流量时只能分批,真是头疼。
北京市 21F
这个脚本能否自动过滤误报?
上海市嘉定区 22F
我之前用tshark配合脚本,省事又省心。
日本 23F
API钥匙申请过程真是麻烦,等了好久才拿到。
广东省广州市 B1
@ 跑步狂热者 API钥匙申请卡了我三天,服了
韩国 24F
这工具一键上传,懒人福音 😂
湖北省黄石市大冶市 25F
听说trigger脚本会抓到内部流量,真的会误报吗?
湖北省武汉市 B1
@ 摄魂琴师 我也担心误报,实际抓的到底是啥?
日本 26F
如果先在本地做一次初步分析,再决定是否上传,安全感会高不少。
马来西亚 27F
老实说,若能自定义上传阈值就更灵活了。
山东省潍坊市 28F
我在实验室跑过几次,发现先本地过滤再上传,不仅保护隐私,还能大幅降低无用数据,真是省时省力。
日本 29F
capture-and-analyze.py能设置抓包时长不?
辽宁省大连市 B1
@ 忧郁的蜗牛 抓包时长可以设,–seconds参数指定就行
日本 30F
trigger那个脚本会不会把正常连接也当异常抓了?
山东省滨州市 31F
这工具对新手友好吗?
中国 B1
@ 木嘉禾 API钥匙申请要等多久?
甘肃省天水市 32F
上传公开确实有点慌
北京市 33F
之前用wireshark手动分析累死了,这个能省不少事
湖南省长沙市 B1
@ 小狗豆 确实省事多了,直接上云分析省了不少手工操作。
湖北省武汉市 B1
@ 小狗豆 我试了下,真的省了好多手工点,抓完直接上云挺舒服。
浙江省舟山市 B1
@ 小狗豆 我之前在实验室跑过几次,发现先本地过滤再上传,不仅保护隐私,还能大幅降低无用数据,真是省时省力。
日本 34F
6MB限制确实不够用啊
福建省宁德市 35F
有谁试过在Windows跑这个?
北京市 B1
@ 双子谜语 我在Win7装了tshark,跑capture还能抓到,唯一问题是要先把API键填进脚本里。
浙江省 36F
感觉可以拿来分析内网异常流量
重庆市 37F
API申请要等多久?
广东省珠海市 38F
要是能自定义文件大小就好了
北京市 B1
@ 傻大个 要是能改成10MB就爽了,估计很多人都会点赞 😂
贵州省贵阳市 39F
这功能真的省事,直接抓包上传。
韩国 40F
全公开的还是有点吓人。
广东省佛山市 41F
6MB上限能改吗?
福建省厦门市 42F
我之前实验室也用类似脚本,误报不少。
江苏省苏州市 43F
记得先装tshark,否则抓不到流量。
上海市卢湾区 44F
这个阈值太低,想抓大流量根本不行。
湖北省黄冈市 45F
感觉还行。
上海市普陀区 46F
一键上传,懒人福音 😂
湖南省 47F
想先本地分析再决定上传,有没有简单的脚本推荐?我试过几次,效果不错。
陕西省 48F
真的太方便了,抓包后直接上云分析,省掉手动审查的时间,感觉自己像装了个超级侦探。
浙江省 49F
这玩意儿一键上传,隐私全飞了,真敢用啊🤔
上海市 50F
6MB算个啥,随便一个TLS握手就超了
上海市浦东新区 51F
trigger脚本误报挺多,内网扫描全抓进来
北京市 52F
蜜罐环境用这个应该挺溜的。
马来西亚 53F
有没有人试过离线版?传上去总心里发毛
江西省南昌市 54F
之前搞蜜罐也用这套路,结果被同事骂泄露数据
黑龙江省 55F
capture-and-analyze.py支持多网卡?求大佬解答
泰国 56F
感觉还行,就是上传前能不能加个确认提示
江苏省淮安市 B1
@ 梦里花落知 能不能先本地分析再决定上传?
河北省唐山市 57F
我用linux跑了一次,tshark装完立马能用
山东省青岛市 58F
这工具对新手不友好,文档太简略了
泰国 59F
那个啥,公开上传的pcap能删吗?
江苏省泰州市 60F
误报太多,建议先本地过滤白名单
浙江省温州市 61F
想问下,上传后的分析结果能导出吗?
韩国 62F
之前用Wireshark一盯一整天,现在直接甩锅云上
印度 63F
6MB限制改不了,建议拆包处理
湖北省武汉市 64F
trigger脚本监听时占资源多吗?
日本 65F
这个框架能不能接自建分析后端啊?
广东省广州市 66F
我试过Windows跑,pip依赖一堆报错
浙江省台州市 67F
蜜罐数据直接公开,这有点刺激啊
重庆市 68F
trigger脚本监听时会不会把正常流量也误报?
广东省珠海市 69F
数据包6MB的限制有点小,大流量场景够用吗?
山东省滨州市 B1
@ ShadowGrin 同感,6MB可能只够测试用
上海市 70F
感觉还行