一、流影态势感知介绍

引用官方原话:流影: 流影 Flow Shadow

面向全行业用户的一站式网络安全态势感知与网络行为可视化综合分析平台

国内开源的态势感知系统仅此一家,但文档写的不是很清楚,配置操作难度比较大,也没有交流群和客服,很多问题难以解决,但是用来体验和学习用还是相当不错的。

二、流影态势感知单机版安装

去掉繁琐的安装步骤,我们直接使用已经配置好的单节点VMware虚拟机镜像版

镜像下载:单节点VMware虚拟机镜像版

提取码:AFOS

注意:在VM打开该镜像之前,推荐先增加虚拟机的内存和处理器,以提高性能。

虚拟机用户名:root,密码:ShyLiuying

关闭防火墙:systemctl stop firewalld

三、流影态势感知使用和流量捕获

查看流量捕获网卡信息:ps aux | grep lyprobe

image-20250726113408416

可以看到,捕获的是ens34这张网卡的信息

对应的IP段就是:192.168.200.12/24,则流影将会捕获这个IP段之内的所有流量

访问http://192.168.200.12:18080/ui,账号密码:admin/LoginLY@2016

image-20250726113659187

目前是空流量,啥也没有

image-20250726113841366

为了演示,我将使用Xray 对 192.168.200.226的 pikachu 靶场进行手动测试

image-20250726114250303

我们发起了XSS、SQL、RCE等常见测试,看结果

image-20250728235007783

看事件列表

image-20250728235031013

四、流量捕获不到问题

当我们发起流量攻击之后,态势感知显示有将近15分钟的延迟,需要耐心等待时间

1
2
3
4
5
6
7
8
9
10
1、ps查看lyprobe进程
ps aux | grep lyprobe
查看监听网卡和流量存储路径
2、查看本地9995是否正在监听
netstat -an | grep 9995
3、使用tcpdump工具查看网卡是否有流量经过
tcpdump -i ens34
4、查看数据存储文件夹下是否有数据文件
ls /data/cap/3
ls /Agent/data/db/

有其他问题的欢迎在下方留言探讨