Forwarded from cRyPtHoN™ INFOSEC (DE)
Maltrail - IPsum
Maltrail ist ein System zur Erkennung von schädlichem Datenverkehr, das öffentlich zugängliche (Black-)Listen verwendet, die schädliche und/oder allgemein verdächtige Spuren enthalten, zusammen mit statischen Spuren, die aus verschiedenen AV-Berichten und benutzerdefinierten Listen zusammengestellt wurden.
💡Architektur
Maltrail basiert auf der Traffic -> Sensor <-> Server <-> Client-Architektur. Der/die Sensor(en) ist/sind eine eigenständige Komponente, die auf dem Überwachungsknoten (z.B. Linux-Plattform, die passiv mit dem SPAN/Mirroring-Port verbunden ist oder transparent inline auf einer Linux-Bridge läuft) oder auf dem eigenständigen Rechner (z.B. Honeypot) läuft, wo er/sie den durchlaufenden Traffic auf Blacklist-Items/Trails (d.h. Domain-Namen, URLs und/oder IPs) "überwacht". Im Falle einer positiven Übereinstimmung sendet es die Ereignisdetails an den (zentralen) Server, wo sie im entsprechenden Logging-Verzeichnis (d.h. LOG_DIR, beschrieben im Abschnitt Konfiguration) gespeichert werden. Wenn der Sensor auf demselben Rechner wie der Server betrieben wird (Standardkonfiguration), werden die Protokolle direkt im lokalen Protokollierungsverzeichnis gespeichert. Andernfalls werden sie über UDP-Nachrichten an den entfernten Server gesendet (d.h. LOG_SERVER, beschrieben im Abschnitt Konfiguration).
👀 👉🏼 https://github.com/stamparm/maltrail#introduction
👀 👉🏼 ipsum:
https://github.com/stamparm/ipsum
#stamparm #maltrail #ipsum #tool #malicious #detection #blacklist
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Maltrail ist ein System zur Erkennung von schädlichem Datenverkehr, das öffentlich zugängliche (Black-)Listen verwendet, die schädliche und/oder allgemein verdächtige Spuren enthalten, zusammen mit statischen Spuren, die aus verschiedenen AV-Berichten und benutzerdefinierten Listen zusammengestellt wurden.
💡Architektur
Maltrail basiert auf der Traffic -> Sensor <-> Server <-> Client-Architektur. Der/die Sensor(en) ist/sind eine eigenständige Komponente, die auf dem Überwachungsknoten (z.B. Linux-Plattform, die passiv mit dem SPAN/Mirroring-Port verbunden ist oder transparent inline auf einer Linux-Bridge läuft) oder auf dem eigenständigen Rechner (z.B. Honeypot) läuft, wo er/sie den durchlaufenden Traffic auf Blacklist-Items/Trails (d.h. Domain-Namen, URLs und/oder IPs) "überwacht". Im Falle einer positiven Übereinstimmung sendet es die Ereignisdetails an den (zentralen) Server, wo sie im entsprechenden Logging-Verzeichnis (d.h. LOG_DIR, beschrieben im Abschnitt Konfiguration) gespeichert werden. Wenn der Sensor auf demselben Rechner wie der Server betrieben wird (Standardkonfiguration), werden die Protokolle direkt im lokalen Protokollierungsverzeichnis gespeichert. Andernfalls werden sie über UDP-Nachrichten an den entfernten Server gesendet (d.h. LOG_SERVER, beschrieben im Abschnitt Konfiguration).
👀 👉🏼 https://github.com/stamparm/maltrail#introduction
👀 👉🏼 ipsum:
https://github.com/stamparm/ipsum
#stamparm #maltrail #ipsum #tool #malicious #detection #blacklist
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
GitHub
GitHub - stamparm/maltrail: Malicious traffic detection system
Malicious traffic detection system. Contribute to stamparm/maltrail development by creating an account on GitHub.