flightsim – 恶意网络流量生成与评估标记

flightsim流量模拟器

Flightsim 是一个轻量级实用程序,用于生成恶意网络流量,并帮助安全团队评估安全控制和网络可见性。 该工具执行测试来模拟 DNS 隧道、 DGA 流量、对已知活动 C2目的地的请求以及其他可疑流量模式。也可称为恶意网络流量模拟器。

flightsim安装

Releases 页面下载最新的 flightsim 二进制文件。该工具可以在任何环境(例如 Linux、 MacOS、 Windows)下使用 Golang 构建,如下所示:

运行flightsim流量模拟器

运行单个模块来生成恶意流量。 要执行所有可用的测试,使用flightsim run,注意: 当运行 C2模块时,flightsim 将从网络犯罪跟踪器(Cybercrime Tracker)和 AlphaSOC API 中收集当前的 C2地址,因此需要外部互联网访问。

列出可用的模块flightsim run --help。 要执行特定的测试,使用 flightsim run <module>,如下所示:

flightsim模块介绍

下面是该工具自带的模块包

模块名模块描述
c2-dns生成当前的C2目的地址列表,分别执行DNS请求
c2-ip随机连接10个当前列表中的C2 IP地址:端口,模拟攻击会话
dga使用随机标签和顶级域名模拟DGA流量
hijack通过ns1.sandbox.alphasoc.xyz测试DNS劫持
scan使用常见端口对10个随机RFC 1918地址进行端口扫描
sink对10个安全提供商的随机地址进行安全测试
spambot随机解析并连接互联网SMTP服务器,测试欺诈端口
tunnel生成DNS隧道请求并发送至*.sandbox.alphasoc.xyz

如何评估网络流量和标记异常?

同一个团队AlphaSOC也开源了另一个安全工具,主要用于评估网络流量和标记异常,它的名字叫nfr(Network Flight Recorder的缩写)。

nfr可工作于windows和linux上。nfr默认使用AlphaSOC分析引擎处理网络流量,所以你需要注册一个帐号获取api接口。具体使用详情可看这里:

https://github.com/alphasoc/nfr