流影—开源网络流量可视化分析平台（一）

大家好，欢迎来到IT知识分享网。

介绍流影

实验简介

本实验需具备Linux操作基础

系统环境

以下为官方推荐的系统版本，本实验使用的为CentOS7.9-2009-x64-Everything-2009.iso

> 下载链接 http://mirrors.nju.edu.cn/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-Everything-2207-02.iso 

网络环境

软件环境

以下为官方提供的开源版软件包，其中分析引擎与管理引擎分别有两个软件包，需要全部下载

> 探针 https://gitee.com/abyssalfish-os/ly_probe/releases/download/v1.0.0/lyprobe-relese-v1.0.0-x86_64.tar.gz > 分析引擎 https://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.4./ly_analyser_release.v1.0.4..tar.gz https://gitee.com/abyssalfish-os/ly_analyser/releases/download/v1.0.0/ly_analyser_dependence.v1.0.0..tar.gz > 管理引擎 https://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0./ly_server_release.v1.0..tar.gz https://gitee.com/abyssalfish-os/ly_server/releases/download/v1.0.0/ly_server_dependence.v1.0.0..tar.gz > 可视化界面 https://gitee.com/abyssalfish-os/ly_vis/releases/download/v1.0.4/开源版.zip 

实验流程

虚拟机配置

配置类型选择典型

安装来源选择稍后安装操作系统

客户机操作系统选择Linux并在版本中选择CentOS 7 64位

虚拟机名称和位置根据自身决定

磁盘容量分配大一些

最后点击完成

点击编辑虚拟机设置

根据自身电脑配置修改虚拟机配置并选择镜像文件

因实验需求，需额外添加一张网卡，一块设置为NAT用于本地SSH登录，一块为仅主机模式用于监听流量

最后点击确定，虚拟机的环境准备完成

系统的安装

选择开启此虚拟机

选择 Install CentOS 7

语言根据自身喜好，本次实验选择英文

进入虚拟机安装配置页面

启动虚拟机网卡，需记住第一张网卡的IP地址后续会用到

选择安装磁盘

时区选择Asia、Shanghai

创建root密码

安装完成后重启

流影的部署

使用SSH工具连接并使用root账户登录

创建本地yum源

> 创建名称为centos.repo的yum仓库文件 cd /etc/yum.repos.d/ rm -rf * vi centos.repo > 按a进入编辑然后输入以下内容 [centos] name = centos baseurl = file:///mnt enabled = 1 gpgcheck = 0 > 按esc退出编辑 > :wq保存 

挂载镜像并完成安装vim与net-tools

> 挂载镜像 mount /dev/cdrom /mnt/ 

> 清理yum缓存并重建yum仓库 yum clean all yum makecache 

> 安装vim与net-tools yum -y install vim yum -y install net-tools 

> 验证是否安装成功 vim --version ifconfig 

安装探针ly_probe

> 上传全部软件包 

> 解压探针软件包 tar zxf /root/lyprobe-relese-v1.0.0-x86_64.tar.gz > 进入目录 cd /root/lyprobe-relese-v1.0.0-x86_64 > 将主程序文件置于系统路径 cp lyprobe /usr/local/bin/ > 将依赖库文件置于系统路径 cp -d liblyprobe* /usr/local/lib/ > 将插件相关依赖库文件目录整体置于系统路径 cp -rd plugins/ /bin cp -rd plugins/ /usr/local/lib/lyprobe > 安装依赖环境 yum -y install libpcap-devel > 验证依赖环境是否安装成功 lyprobe --version 

> 修改要监听的网卡配置文件 cd /etc/sysconfig/network-scripts/ > 查看本机的网卡配置文件名称 ls 

> 修改第二张网卡的配置文件 vim ifcfg-ens33 > 按esc退出编辑 > :wq保存 

> 重启网卡 systemctl restart network > 查看网卡信息 ifconfig > 第二张网卡出现地址则正确 

> 添加监听规则 lyprobe -T "%IPV4_SRC_ADDR %IPV4_DST_ADDR %IN_PKTS %IN_BYTES %FITST_SWITCHED %LAST_SWITCHED %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %PROTOCOL %SRC_TOS %DNS_REQ_DOMAIN %DNS_REQ_TYPE %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TYPE %SRV_NAME %SRV_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %SRV_TIME %THREAT_TIME" -n 127.0.0.1:9995 -e 0 -w 32768 -k 1 -K /data/cap/3 -G -i ens33 > 检查进程 ps aux | grep probe 

安装分析引擎ly_analyser

> 解压分析引擎软件包 tar zxf /root/ly_analyser_release.v1.0.4..tar.gz tar zxf /root/ly_analyser_dependence.v1.0.0..tar.gz > 进入目录 cd /root/ly_analyser_dependence.v1.0.0. mv * /root/ly_analyser_release.v1.0.4. > 安装依赖环境 yum -y install gcc gcc-c++ cmake yum -y install bison flex json-c-devel yum -y install ntp yum -y install boost-devel yum -y install libcurl-devel yum -y install mariadb-devel yum -y install httpd stunnel rsync sysstat > 安装Agent cd /root/ly_analyser_release.v1.0.4. /bin/sh ./agent_deploy_new.sh 

安装管理引擎ly_server

> 解压管理引擎软件包 tar zxf /root/ly_server_release.v1.0..tar.gz tar zxf /root/ly_server_dependence.v1.0.0..tar.gz > 进入目录 cd /root/ly_server_dependence.v1.0.0. mv * /root/ly_server_release.v1.0. > 安装依赖环境 yum -y install mariadb-server yum -y install MySQL-python yum -y install python-setuptools > 安装Agent cd /root/ly_server_release.v1.0. /bin/bash ./server_deploy_new.sh 

> 回车 

> 输入Y > 输入密码 

> 输入Y 

> 输入密码 

> 检查服务 ll /Server/ ll /Server/bin 

安装可视化ly_vis

> 安装依赖环境 yum -y install unzip > 解压可视化软件包 unzip 开源版.zip > 移动配置文件 mv /root/build/ /Server/www/ui 

> 检查配置文件 ll /Server/www ll /Server/www/ui 

测试流影

> 浏览器输入 http://本机IP:18080/ui/ > 管理员账号：admin > 密码LoginLY@2016 

总结

感谢流影将此项目开源，能有机会接触到这么全面的流量分析平台。现如今的网络时代，越早的发现入侵扫描活动，越能及时采取措施，阻断入侵者进一步实施后续的攻击和破坏，避免损失。