TrafficEye 开源护网流量分析与威胁检测工具

🛡️ TrafficEye 网络流量分析与威胁检测工具

该工具适用于 护网蓝队对网络流量的深入分析，帮助安全研究人员、渗透测试人员及网络管理员等专业人士识别潜在的安全威胁黑客攻击行为等，尤其是针对 Web 应用的攻击（如 SQL 注入、XSS、WebShell 等）。其模块化设计使用户能够根据实际需求自由选择并定制各类功能模块

项目地址

https://github.com/CuriousLearnerDev/TrafficEye

🧩 工具架构概览

🚀 工具现有功能

✅ 已完成 tshark 调用优化，性能大幅提升（解析速度为 pyshark 的约 100 倍，原本几分钟的分析现在可在数秒内完成）✅自动识别文件类型进行分析✅可以使用sslkeys.log对HTTPS的数据解密

🔍 流量解析

✅ 支持 pyshark 与高性能 tshark（速度提升近 100 倍）✅ 支持 HTTPS 解密（通过 sslkeys.log）✅ 自动识别文件类型✅ 支持输出Burp Suite的http数据✅ 支持输出POST数据部分字节流格式✅ 支持输出POST数据部原始16进制数据✅ 支持过滤输出uri、过滤请求和响应

🧠 AI 智能检测

✅ 支持指定URI分析，分析优化✅ 支持自动化批量分析✅ 支持指定请求头、请求体分析

📄 LOG文件分析

✅ 支持Apache✅ 支持Nginx✅ 支持JSON✅ 支持F5✅ 支持HAProxy✅ 支持Tomcat✅ 支持IIS

🔁 数据重放

✅ 原封不动重放请求✅ 发送完整二进制请求数据按会话发送请求： 请求会按照建立的连接会话顺序发送，例如，在哥斯拉工具中，测试 Webshell 时会自动发送三次请求，这三次请求构成一个会话，输入会话 ID 后可以重放这三次请求，完全复现会话过程

📦 二进制文件提取支持：

✅ 支持：JAVA 序列化二进制数据✅ 支持：C# 序列化数据✅ 支持：C# Base64 序列化数据✅ 支持：JAVA 字节码✅ 支持：ZIP 文件✅ 支持：7z 文件✅ 支持：图片文件 (JPEG, PNG, GIF, BMP, TIFF等)✅ 支持：音频文件 (MP3, WAV, FLAC等)✅ 支持：视频文件 (MP4, AVI, MOV, MKV等)✅ 支持：PDF 文件✅ 支持：文档文件 (Word, Excel, PowerPoint, PDF等)✅ 支持：压缩包文件 (RAR, TAR, GZ, ARJ等)✅ 支持：邮件文件 (MBOX, PST, DBX, EML等)✅ 支持：数据库文件 (SQLite, MySQL, MongoDB等)✅ 支持：脚本和代码文件 (Python, JavaScript, PHP, Ruby, Java等)✅ 支持：二进制文件签名检测（如：特定软件或硬件生成的二进制格式）

📊 统计

✅ 支持访问地址整理访问次数✅ IP地址归属地✅ 原始IP✅ 使用的方法✅ 访问次数

🧰 安全检测

✅ 信息泄露/目录遍历✅ 敏感文件泄露✅ 目录遍历✅ 远程文件包含✅ 本地文件包含✅ 远程代码执行✅ SQL注入攻击✅ 跨站脚本攻击（XSS）

📅 最近研发进度

2025-04-26：默认AI识别、流量包二进制文件识别、不勾选，提升整体速度2025-04-23：统计分析可以点击全屏

2025-04-20：指定请求URI、请求头、请求体AI分析，优化流量分析速度、界面修改、部分问题修复2025-04-19：完善基本AI危险识别模块2025-04-18：开始研发情报分析模块2025-04-17：开始研发AI分析模块2025-04-15：新增TLS解密功能2025-04-14：界面优化功能优化2025-04-13：新增二进制文件提取2025-04-12：开始研发二进制文件提取2025-04-11：开始界面修改2025-04-10：开始编写正则2025-04-10：开始修改核心代码2025-04-09：开始日志提取模块2025-04-08：开始日志提取正则2025-04-06：开始重放功能2025-04-05：开始设置输出数据流

📸 界面预览

🎛️ 仪表盘统计视图

📦 流量二进制提取

📄 日志格式识别与提取

全流量接触可以拆分成更容易阅读的格式，方便我们分析流量

🧪 会话重放

• • 原封不动重放请求
• • 发送完整二进制请求数据
• • 按会话发送请求： 请求会按照建立的连接会话顺序发送，例如，在哥斯拉工具中，测试 Webshell 时会自动发送三次请求，这三次请求构成一个会话，输入会话 ID 后可以重放这三次请求，完全复现会话过程

例如：哥斯拉会话id如下

我们就可以输入id发送这个请求

📊 统计分析

正则验证

AI分析

🧠 未来计划（规划中）

• • ✅ 日志告警联动系统
• • ✅ 威胁情报 API 聚合（如 VT、CriminalIP、AbuseIPDB 等）
• • ✅ 内置规则联动 ModSecurity 模拟检测
• • ✅ 支持更多 WebShell 工具识别（Behinder、蚁剑等）