HoneyBot:一款功能强大的网络流量捕捉与分析框架

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
资源分享899,9342字数 787阅读2分37秒阅读模式
AI智能摘要
想将你的蜜罐捕获的流量一键上传并深度分析吗?HoneyBot正是这样一款开源工具,它通过三个核心脚本,让你能轻松捕捉、上传并借助PacketTotal.com的云端能力,自动化分析网络数据包。无论是监控未知连接、批量筛查恶意PCAP文件,还是辅助恶意软件分析,这款工具都能显著提升你的安全研究效率。
— AI 生成的文章内容摘要

HoneyBot:一款功能强大的网络流量捕捉与分析框架-图片1

HoneyBot

HoneyBot是一款功能强大的网络流量捕捉、上传和分析框架,本质上HoneyBot可以实现基于云的PCAP分析,由PacketTotal.com驱动。

HoneyBot其实是由一系列脚本与代码库组成的,并且可以给广大研究人员提供网络数据包的捕捉与分析功能。当前版本的代码库提供了下列三个脚本:

1、capture-and-analyze.py - 对目标接口进行一段时间的数据捕捉,并上传捕捉到的数据以供后续分析。

2、upload-and-analyze.py - 将捕捉到的数据包上传至PacketTotal.com进行后续分析

3、trigger-and-analyze.py - 监听未知连接,并在建立连接时开始数据捕捉,完成捕捉后会自动上传并分析。

注意事项

使用该工具集所捕捉到的任何流量或数据包都将被上传并完全公开可获取。

限制条件

1、目前HoneyBot仅支持.pcap和.pcapng文件;

2、最大支持的数据包大小为6MB;

如需了解更多关于HoneyBot的信息,请参考PacketTotal.com

工具使用场景

1、设置蜜罐环境,并直接将捕捉到的网络流量上传至PacketTotal.com以供分析;

2、分析个人的恶意PCAP库;

3、一次性判断数百个数据包是否具有恶意性;

4、自动分析/共享蜜罐环境捕捉到的数据包;

5、自动化恶意软件分析/分类;

HoneyBot:一款功能强大的网络流量捕捉与分析框架-图片2

依赖组件

1、必须安装WireShark,如果你是在基于linux的操作系统上使用HoneyBot的话,你可以直接安装t-shark:

apt-get install tshark

2、需要使用Python 3.5或更高版本;
3、在使用这些脚本之前,必须申请一个API密钥

工具安装

pip install -r requirements.txt
python setup.py install

工具使用

capture-and-analyze.py

usage: capture-and-analyze.py [-h] [--seconds SECONDS] [--interface INTERFACE]
[--analyze] [--list-interfaces] [--list-pcaps]
[--export-pcaps]
Capture, upload and analyze network traffic; powered by PacketTotal.com.
optional arguments:
-h, --help            show this help message and exit
--seconds SECONDS     The number of seconds to capture traffic for.
--interface INTERFACE
The name of the interface (--list-interfaces to show
available)
--analyze             If included, capture will be uploaded for analysis to
PacketTotal.com.
--list-interfaces     Lists the available interfaces.
--list-pcaps          Lists pcaps submitted to PacketTotal.com for analysis.
--export-pcaps        Writes pcaps submitted to PacketTotal.com for analysis
to a csv file.

upload-and-analyze.py

usage: upload-and-analyze.py [-h] [--path PATH [PATH ...]] [--analyze]
[--list-pcaps] [--export-pcaps]
Upload and analyze .pcap/.pcapng files in bulk; powered by PacketTotal.com.

optional arguments:

-h, --help            show this help message and exit

--path PATH [PATH ...]

One or more paths to pcap or directory of pcaps.

--analyze             If included, capture will be uploaded for analysis to

PacketTotal.com.

--list-pcaps          Lists pcaps submitted to PacketTotal.com for analysis.

--export-pcaps        Writes pcaps submitted to PacketTotal.com for analysis

to a csv file.

trigger-and-analyze.py


usage: trigger-and-analyze.py [-h] [--interface INTERFACE] [--learn LEARN]

[--listen] [--capture-seconds CAPTURE_SECONDS]

[--list-interfaces] [--list-pcaps]

[--export-pcaps]

Listen for unknown connections, and begin capturing when one is made. Captures

are automatically uploaded and analyzed; powered by PacketTotal.com

optional arguments:

-h, --help            show this help message and exit

--interface INTERFACE

The name of the interface (--list-interfaces to show

available)

--learn LEARN         The number of seconds from which to build the known

connections whitelist. Connections in this whitelist

will be ignored.

--listen              If included, we will begin listening for unknown

connections, and immediately starting a packet capture

and uploading to PacketTotal.com for analysis.

--capture-seconds CAPTURE_SECONDS

The number of seconds worth of network traffic to

capture and analyze after a trigger has fired.

--list-interfaces     Lists the available interfaces.

--list-pcaps          Lists pcaps submitted to PacketTotal.com for analysis.

--export-pcaps        Writes pcaps submitted to PacketTotal.com for analysis

to a csv file.

 

项目地址

HoneyBot:【GitHub传送门

https://www.freebuf.com/sectool/229968.html

 
枫少@KillBoy
评论  89  访客  89
    • 天穹咒术师
      天穹咒术师 0

      上传的pcap全公开,怕泄密的慎用。

        • 刀客无名
          刀客无名 0

          @ 天穹咒术师 公开的真的有风险,最好先把敏感信息打码 😊

        • 数字禅修
          数字禅修 0

          6MB大小限制有点尴尬,想抓大流量。

          • GillsGiggle
            GillsGiggle 0

            我之前也用tshark配合脚本,省事。

            • 小鹿茸
              小鹿茸 0

              API钥匙申请过程好像挺繁琐的。

              • 玻璃幕墙
                玻璃幕墙 1

                这个trigger脚本好像会误抓内部流量?

                • 潜意识漫游者
                  潜意识漫游者 0

                  这个工具太方便了,直接抓包上传。

                    • 梨香院老
                      梨香院老 0

                      @ 潜意识漫游者 哈哈,懒人福音 😂,反正我也不怕被看

                    • 旧皮鞋
                      旧皮鞋 1

                      之前搞过蜜罐,踩过这个坑

                      • 不屑的冷笑
                        不屑的冷笑 0

                        有没有更简单的方案?

                        • 数据之刃
                          数据之刃 0

                          我在Windows跑一次试试

                          • 害羞的兔子
                            害羞的兔子 0

                            6MB限制确实太低了,随便抓点TLS握手就超了。

                            • LuminousVoid
                              LuminousVoid 0

                              这玩意儿必须装tshark,没装的话脚本直接废了。

                              • 烈火战魂
                                烈火战魂 1

                                trigger脚本误报问题怎么解决?之前用类似工具被误报搞疯了。

                                • 复古小调
                                  复古小调 0

                                  有人试过在Windows跑成功吗?看评论区好像问题不少。

                                  • 暗鸦之瞳
                                    暗鸦之瞳 1

                                    感觉这工具对新手不太友好,文档太简略了。

                                    • 清晨薄荷
                                      清晨薄荷 0

                                      哈哈,这玩意儿一键上传,真是懒人福音 😂

                                      • 狼狼啸啸
                                        狼狼啸啸 1

                                        感觉如果把抓到的包先本地分析再决定是否上传会更安全。

                                          • 灵雾星辰
                                            灵雾星辰 1

                                            @ 狼狼啸啸 先本地审查再上传,我这流程挺省事的

                                            • 鸿运当头
                                              鸿运当头 0

                                              @ 狼狼啸啸 先本地分析再上传的想法不错,能降低泄露风险。

                                            • 小狮子威威
                                              小狮子威威 0

                                              想问下,capture-and-analyze.py支持多网卡同时抓吗?

                                                • 月落寒
                                                  月落寒 1

                                                  @ 小狮子威威 好像只能单卡抓,想多网卡得分两次跑

                                                  • 小绒
                                                    小绒 0

                                                    @ 小狮子威威 目前脚本只单卡抓,想多卡得自行改代码。

                                                  • 栀子花香
                                                    栀子花香 1

                                                    我之前在实验室部署蜜罐,用了类似的脚本,结果发现误报很多,后期要仔细过滤才行。

                                                      • 暗影褶皱
                                                        暗影褶皱 0

                                                        @ 栀子花香 误报确实烦人,建议加个白名单过滤步骤。

                                                      • 点点
                                                        点点 1

                                                        抓到的流量直接上传,感觉有点冲动。

                                                        • 狡猾狼
                                                          狡猾狼 1

                                                          6MB上限实在太低,想抓大流量根本不行。

                                                            • 椰奶小兔子
                                                              椰奶小兔子 1

                                                              @ 狡猾狼 我也碰到过,抓大流量时只能分批,真是头疼。

                                                            • 安详的夜
                                                              安详的夜 0

                                                              这个脚本能否自动过滤误报?

                                                              • 剑影随
                                                                剑影随 1

                                                                我之前用tshark配合脚本,省事又省心。

                                                                • 跑步狂热者
                                                                  跑步狂热者 0

                                                                  API钥匙申请过程真是麻烦,等了好久才拿到。

                                                                    • 潜意识之镜
                                                                      潜意识之镜 1

                                                                      @ 跑步狂热者 API钥匙申请卡了我三天,服了

                                                                    • 光之颂歌
                                                                      光之颂歌 0

                                                                      这工具一键上传,懒人福音 😂

                                                                      • 摄魂琴师
                                                                        摄魂琴师 1

                                                                        听说trigger脚本会抓到内部流量,真的会误报吗?

                                                                          • 灵界游魂
                                                                            灵界游魂 0

                                                                            @ 摄魂琴师 我也担心误报,实际抓的到底是啥?

                                                                          • 妖瞳夜语
                                                                            妖瞳夜语 1

                                                                            如果先在本地做一次初步分析,再决定是否上传,安全感会高不少。

                                                                            • 贝壳啦啦
                                                                              贝壳啦啦 1

                                                                              老实说,若能自定义上传阈值就更灵活了。

                                                                              • 幽光之梦
                                                                                幽光之梦 0

                                                                                我在实验室跑过几次,发现先本地过滤再上传,不仅保护隐私,还能大幅降低无用数据,真是省时省力。

                                                                                • 忧郁的蜗牛
                                                                                  忧郁的蜗牛 0

                                                                                  capture-and-analyze.py能设置抓包时长不?

                                                                                    • 春水碧于天
                                                                                      春水碧于天 0

                                                                                      @ 忧郁的蜗牛 抓包时长可以设,–seconds参数指定就行

                                                                                    • 憨不粗粗
                                                                                      憨不粗粗 0

                                                                                      trigger那个脚本会不会把正常连接也当异常抓了?

                                                                                      • 木嘉禾
                                                                                        木嘉禾 1

                                                                                        这工具对新手友好吗?

                                                                                          • 弑神
                                                                                            弑神 0

                                                                                            @ 木嘉禾 API钥匙申请要等多久?

                                                                                          • 星屑猎人
                                                                                            星屑猎人 0

                                                                                            上传公开确实有点慌

                                                                                            • 小狗豆
                                                                                              小狗豆 0

                                                                                              之前用wireshark手动分析累死了,这个能省不少事

                                                                                                • 水瓶星辰
                                                                                                  水瓶星辰 0

                                                                                                  @ 小狗豆 确实省事多了,直接上云分析省了不少手工操作。

                                                                                                  • 记忆碎片拼贴家
                                                                                                    记忆碎片拼贴家 0

                                                                                                    @ 小狗豆 我试了下,真的省了好多手工点,抓完直接上云挺舒服。

                                                                                                    • 绯红之夜
                                                                                                      绯红之夜 0

                                                                                                      @ 小狗豆 我之前在实验室跑过几次,发现先本地过滤再上传,不仅保护隐私,还能大幅降低无用数据,真是省时省力。

                                                                                                    • 墨竹听风
                                                                                                      墨竹听风 0

                                                                                                      6MB限制确实不够用啊

                                                                                                      • 双子谜语
                                                                                                        双子谜语 1

                                                                                                        有谁试过在Windows跑这个?

                                                                                                          • 愉悦的旋律
                                                                                                            愉悦的旋律 0

                                                                                                            @ 双子谜语 我在Win7装了tshark,跑capture还能抓到,唯一问题是要先把API键填进脚本里。

                                                                                                          • 幻夜星尘
                                                                                                            幻夜星尘 0

                                                                                                            感觉可以拿来分析内网异常流量

                                                                                                            • 记忆晶体
                                                                                                              记忆晶体 0

                                                                                                              API申请要等多久?

                                                                                                              • 傻大个
                                                                                                                傻大个 0

                                                                                                                要是能自定义文件大小就好了

                                                                                                                  • 银匠潘老五
                                                                                                                    银匠潘老五 0

                                                                                                                    @ 傻大个 要是能改成10MB就爽了,估计很多人都会点赞 😂

                                                                                                                  • 团团羊
                                                                                                                    团团羊 1

                                                                                                                    这功能真的省事,直接抓包上传。

                                                                                                                    • 极光代码
                                                                                                                      极光代码 1

                                                                                                                      全公开的还是有点吓人。

                                                                                                                      • 今日份温柔
                                                                                                                        今日份温柔 0

                                                                                                                        6MB上限能改吗?

                                                                                                                        • 西湖桥畔
                                                                                                                          西湖桥畔 0

                                                                                                                          我之前实验室也用类似脚本,误报不少。

                                                                                                                          • 加密星辰
                                                                                                                            加密星辰 0

                                                                                                                            记得先装tshark,否则抓不到流量。

                                                                                                                            • 斜塔上的云
                                                                                                                              斜塔上的云 1

                                                                                                                              这个阈值太低,想抓大流量根本不行。

                                                                                                                              • 银河工场
                                                                                                                                银河工场 0

                                                                                                                                感觉还行。

                                                                                                                                • 死亡之舞
                                                                                                                                  死亡之舞 0

                                                                                                                                  一键上传,懒人福音 😂

                                                                                                                                  • 复古缝纫机
                                                                                                                                    复古缝纫机 0

                                                                                                                                    想先本地分析再决定上传,有没有简单的脚本推荐?我试过几次,效果不错。

                                                                                                                                    • AI诗人
                                                                                                                                      AI诗人 0

                                                                                                                                      真的太方便了,抓包后直接上云分析,省掉手动审查的时间,感觉自己像装了个超级侦探。

                                                                                                                                      • 云中牧歌
                                                                                                                                        云中牧歌 0

                                                                                                                                        这玩意儿一键上传,隐私全飞了,真敢用啊🤔

                                                                                                                                        • 彩虹屁大师
                                                                                                                                          彩虹屁大师 1

                                                                                                                                          6MB算个啥,随便一个TLS握手就超了

                                                                                                                                          • 星见
                                                                                                                                            星见 1

                                                                                                                                            trigger脚本误报挺多,内网扫描全抓进来

                                                                                                                                            • 三岔口夜
                                                                                                                                              三岔口夜 1

                                                                                                                                              蜜罐环境用这个应该挺溜的。

                                                                                                                                              • 雾岛
                                                                                                                                                雾岛 1

                                                                                                                                                有没有人试过离线版?传上去总心里发毛

                                                                                                                                                • PizzaTornado
                                                                                                                                                  PizzaTornado 0

                                                                                                                                                  之前搞蜜罐也用这套路,结果被同事骂泄露数据

                                                                                                                                                  • 钟摆人生
                                                                                                                                                    钟摆人生 0

                                                                                                                                                    capture-and-analyze.py支持多网卡?求大佬解答

                                                                                                                                                    • 梦里花落知
                                                                                                                                                      梦里花落知 0

                                                                                                                                                      感觉还行,就是上传前能不能加个确认提示

                                                                                                                                                        • 何廿二
                                                                                                                                                          何廿二 1

                                                                                                                                                          @ 梦里花落知 能不能先本地分析再决定上传?

                                                                                                                                                        • 心旷神怡
                                                                                                                                                          心旷神怡 0

                                                                                                                                                          我用linux跑了一次,tshark装完立马能用

                                                                                                                                                          • 猴子小猴
                                                                                                                                                            猴子小猴 0

                                                                                                                                                            这工具对新手不友好,文档太简略了

                                                                                                                                                            • 灵砂幻
                                                                                                                                                              灵砂幻 1

                                                                                                                                                              那个啥,公开上传的pcap能删吗?

                                                                                                                                                              • 夜游江湖
                                                                                                                                                                夜游江湖 0

                                                                                                                                                                误报太多,建议先本地过滤白名单

                                                                                                                                                                • 老钢琴
                                                                                                                                                                  老钢琴 1

                                                                                                                                                                  想问下,上传后的分析结果能导出吗?

                                                                                                                                                                  • 软糖心
                                                                                                                                                                    软糖心 1

                                                                                                                                                                    之前用Wireshark一盯一整天,现在直接甩锅云上

                                                                                                                                                                    • 月下笛
                                                                                                                                                                      月下笛 1

                                                                                                                                                                      6MB限制改不了,建议拆包处理

                                                                                                                                                                      • 闲适时光
                                                                                                                                                                        闲适时光 1

                                                                                                                                                                        trigger脚本监听时占资源多吗?

                                                                                                                                                                        • 雾中彼岸
                                                                                                                                                                          雾中彼岸 1

                                                                                                                                                                          这个框架能不能接自建分析后端啊?

                                                                                                                                                                          • WobbleKing
                                                                                                                                                                            WobbleKing 0

                                                                                                                                                                            我试过Windows跑,pip依赖一堆报错

                                                                                                                                                                            • 茶时光
                                                                                                                                                                              茶时光 1

                                                                                                                                                                              蜜罐数据直接公开,这有点刺激啊

                                                                                                                                                                              • 魔界行者
                                                                                                                                                                                魔界行者 1

                                                                                                                                                                                trigger脚本监听时会不会把正常流量也误报?

                                                                                                                                                                                • ShadowGrin
                                                                                                                                                                                  ShadowGrin 1

                                                                                                                                                                                  数据包6MB的限制有点小,大流量场景够用吗?

                                                                                                                                                                                    • RuneWeaver
                                                                                                                                                                                      RuneWeaver 1

                                                                                                                                                                                      @ ShadowGrin 同感,6MB可能只够测试用

                                                                                                                                                                                    • StarbornSerpent
                                                                                                                                                                                      StarbornSerpent 0

                                                                                                                                                                                      感觉还行

                                                                                                                                                                                    匿名

                                                                                                                                                                                    发表评论

                                                                                                                                                                                    匿名网友

                                                                                                                                                                                    拖动滑块以完成验证