恶意网络流量模拟器-flightsim

admin
admin
admin
138985
文章
114
评论
2023年4月23日22:45:36评论79 views字数 2857阅读9分31秒阅读模式

flightsim流量模拟器

Flightsim 是一个轻量级实用程序,用于生成恶意网络流量,并帮助安全团队评估安全控制和网络可见性。该工具执行测试来模拟 DNS 隧道、 DGA 流量、对已知活动 C2目的地的请求以及其他可疑流量模式。也可称为恶意网络流量模拟器。

flightsim安装

从 Releases 页面下载最新的 flightsim 二进制文件。该工具可以在任何环境(例如 Linux、 MacOS、 Windows)下使用 Golang 构建,如下所示:

go get -u github.com/alphasoc/flightsim/...

运行flightsim流量模拟器

$ flightsim --help
AlphaSOC Network Flight Simulator™ (https://github.com/alphasoc/flightsim)
flightsim is an application which generates malicious network traffic for securityteams to evaluate security controls (e.g. firewalls) and ensure that monitoring toolsare able to detect malicious traffic.
Usage:  flightsim [command]
Available Commands:  help        Help about any command  run         Run all simulators (default) or a particular test  version     Print version and exit
Flags:  -h, --help   help for flightsim
Use "flightsim [command] --help" for more information about a command

运行单个模块来生成恶意流量。要执行所有可用的测试,使用flightsim run,注意: 当运行 C2模块时,flightsim 将从网络犯罪跟踪器(Cybercrime Tracker)和 AlphaSOC API 中收集当前的 C2地址,因此需要外部互联网访问。

列出可用的模块flightsim run --help。要执行特定的测试,使用 flightsim run <module>,如下所示:

$ flightsim run --helpRun all simulators (default) or a particular test
Usage:  flightsim run [c2-dns|c2-ip|dga|hijack|scan|sink|spambot|tunnel] [flags]
Flags:  -n,                      number of hosts generated for each simulator (default 10)      --fast               run simulator fast without sleep intervals  -h, --help               help for run  -i, --interface string   network interface to use
$ flightsim run dga
AlphaSOC Network Flight Simulator™ (https://github.com/alphasoc/flightsim)The IP address of the network interface is 172.31.84.103The current time is 10-Jan-18 09:30:28
Time      Module   Description--------------------------------------------------------------------------------09:30:28  dga      Starting09:30:28  dga      Generating list of DGA domains09:30:30  dga      Resolving rdumomx.xyz09:30:31  dga      Resolving rdumomx.biz09:30:31  dga      Resolving rdumomx.top09:30:32  dga      Resolving qtovmrn.xyz09:30:32  dga      Resolving qtovmrn.biz09:30:33  dga      Resolving qtovmrn.top09:30:33  dga      Resolving pbuzkkk.xyz09:30:34  dga      Resolving pbuzkkk.biz09:30:34  dga      Resolving pbuzkkk.top09:30:35  dga      Resolving wfoheoz.xyz09:30:35  dga      Resolving wfoheoz.biz09:30:36  dga      Resolving wfoheoz.top09:30:36  dga      Resolving lhecftf.xyz09:30:37  dga      Resolving lhecftf.biz09:30:37  dga      Resolving lhecftf.top09:30:38  dga      Finished
All done! Check your SIEM for alerts using the timestamps and details above.

flightsim模块介绍

下面是该工具自带的模块包

模块名 模块描述
c2-dns 生成当前的C2目的地址列表,分别执行DNS请求
c2-ip 随机连接10个当前列表中的C2 IP地址:端口,模拟攻击会话
dga 使用随机标签和顶级域名模拟DGA流量
hijack 通过ns1.sandbox.alphasoc.xyz测试DNS劫持
scan 使用常见端口对10个随机RFC 1918地址进行端口扫描
sink 对10个安全提供商的随机地址进行安全测试
spambot 随机解析并连接互联网SMTP服务器,测试欺诈端口
tunnel 生成DNS隧道请求并发送至*.sandbox.alphasoc.xyz

如何评估网络流量和标记异常?

同一个团队AlphaSOC也开源了另一个安全工具,主要用于评估网络流量和标记异常,它的名字叫nfr(Network Flight Recorder的缩写)。

nfr可工作于windows和linux上。nfr默认使用AlphaSOC分析引擎处理网络流量,所以你需要注册一个帐号获取api接口。具体使用详情可看这里:

https://github.com/alphasoc/nfr

侵权请私聊公众号删文


 热文推荐  


欢迎关注LemonSec
觉得不错点个“赞”、“在看“

原文始发于微信公众号(LemonSec):恶意网络流量模拟器-flightsim

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月23日22:45:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意网络流量模拟器-flightsimhttps://cn-sec.com/archives/1686298.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息