RITA是用于网络流量分析的开源框架。
该框架以TSV格式提取Bro/Zeek日志,目前支持以下主要功能:
信标检测:在网络内外搜索信标行为的迹象
DNS隧道检测搜索基于DNS的隐蔽通道的迹象
工具安装
RITA提供了可在Ubuntu 18.04 LTS,Ubuntu 16.04 LTS,Security Onion *和CentOS 7上运行的安装脚本。
在此处下载最新install.sh文件并使其可执行:
chmod x ./install.sh
然后选择以下安装方法之一:
sudo ./install.sh将安装RITA以及Bro / Zeek和MongoDB的受支持版本。如果您想尽快上手,或者您还没有Bro / Zeek或MongoDB,则此方法非常适合。
sudo ./install.sh --disable-bro --disable-mongo仅安装RITA,不安装Bro / Zeek或MongoDB。您也可以单独使用这些标志。
Filtering: InternalSubnets是必须配置的,否则无法查看到分析结果。如果你的网络使用了标准RFC1918,内部IP范围为10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,我们需要去掉配置文件中InternalSubnets数据域的注释,并根据我们的环境情况进行参数修改。RITA的主要目标是为了寻找已被入侵的内部系统在于外部系统通信的标识,并且能够自动过滤内部终端的通信。
除了Filtering: InternalSubnets之外,你可能还需要配置Filtering: AlwaysInclude,它是一个范围列表,可以指定需要过滤的内容。
获取数据(生成Bro / Zeek日志)
选项1:在Bro / Zeek之外生成PCAP
bro -r pcap_to_log.pcap local "Log::default_rotation_interval = 1 day"
mergecap -w outFile.pcap inFile1.pcap inFile2.pcap
使用数据包嗅探器(tcpdump,wireshark等)生成PCAP文件
(可选)将多个PCAP文件合并为一个PCAP文件
从PCAP文件生成Bro / Zeek日志
选项2:安装Bro / Zeek并使其直接监视界面[ 说明 ]
--disable-bro如果您打算从源代码编译Bro / Zeek,请在运行安装程序时提供标志
出于性能原因,您可能希望从源代码编译Bro / Zeek。该脚本可以帮助自动化该过程。
RITA的自动安装程序默认情况下会安装预编译的Bro / Zeek二进制文件
使用示例
示例:如果您想要一个包含一周数据的数据集,则可以每天运行以下rita命令一次。
rita import --rolling --numchunks 7 /opt/bro/logs/current week-dataset
这会将一天的数据导入到每个块中,而您总共可以获得一周的数据。导入前7天后,数据集将轮换出旧数据以保留最近7天的数据价值。请注意,/opt/bro/logs/current在此示例中,您必须确保要添加新日志。
示例:如果您想要一个包含48小时数据的数据集,则可以每小时运行以下rita命令。
rita import --rolling --numchunks 48 /opt/bro/logs/current 48-hour-dataset
使用RITA检查数据
使用show-X命令
show-databases:打印当前存储的数据集
show-beacons:打印显示C2软件迹象的主机
show-bl-hostnames:打印收到连接的列入黑名单的主机名
show-bl-source-ips:打印启动连接的列入黑名单的IP
show-bl-dest-ips:打印收到连接的列入黑名单的IP
show-exploded-dns:打印dns分析。公开秘密的dns频道
show-long-connections:打印长连接和相关信息
show-strobes:打印频率过高的连接
show-useragents:打印用户代理信息
默认情况下,RITA以CSV格式显示数据
例如:rita show-beacons dataset_name -H | less -S
-H 以人类可读的格式显示数据
通过less -S防止文字环绕 来传递人类可读的结果
使用创建HTML报告 html-report
文章来源:
https://github.com/activecm/rita
推荐文章++++
文章好看点这里