Crédit image: http://www.effecthacking.com/2018/05/maltrail-malicious-traffic-detection.html

Maltrail: système de détection de trafic malveillant

VLADIMIR AMAN 4 avril 2022 254 Vues

Maltrail est un système de détection de trafic malveillant, utilisant des listes (noires) accessibles au public et contenant des pistes malveillantes et/ou généralement suspectes, ainsi que des pistes statiques compilées à partir de divers rapports d’AntiVirus et des listes personnalisées définies par l’utilisateur, partant du nom de domaine (par exemple zvpprsensinaix .com pour le malware Banjori), URL (par exemple hXXp://109.162.38.120/harsh02.exe pour un exécutable malveillant connu), adresse IP (par exemple 185.130.5.231 pour un attaquant connu) ou valeur d’en-tête HTTP User-Agent (par exemple sqlmap pour Outil d’injection SQL et de reprise de base de données). En outre, il utilise des mécanismes heuristiques avancés (facultatifs) qui peuvent aider à découvrir des menaces inconnues (par exemple, de nouveaux logiciels malveillants).

Maltrail est basé sur l’architecture Trafic -> Capteur <-> Serveur <-> Client. Le(s) capteur(s) est un composant autonome s’exécutant sur le nœud de surveillance (par exemple, la plate-forme Linux connectée passivement au port SPAN/mirroring ou de manière transparente en ligne sur un pont Linux) ou sur la machine autonome (par exemple, Honeypot) où il « surveille » le trafic qui passe pour les éléments/chemins de la liste noire (c’est-à-dire les noms de domaine, les URL et/ou les IP). En cas de correspondance positive, il envoie les détails de l’événement au serveur (central) où ils sont stockés dans le répertoire de journalisation approprié (c’est-à-dire LOG_DIR décrit dans la section Configuration). Si Sensor est exécuté sur la même machine que Server (configuration par défaut), les journaux sont stockés directement dans le répertoire de journalisation local. Sinon, ils sont envoyés via des messages UDP au serveur distant (c’est-à-dire LOG_SERVER décrit dans la section Configuration).

1- Fonctionnalités

  • Tableau de bord
  • Détection des scans de masse
  • Identification d’attaquants anonymes (utilisant ToR)
  • Détection d’attaques de services
  • Détection de Malware
  • Vérification de domaines suspects
  • Demandes ipinfo suspectes
  • Détection des téléchargements directs de fichiers suspects
  • Détection de requêtes HTTP suspectes
  • Détection de scanning de ports
  • Détection des attaques DDoS via DNS resource exhaustion
  • Détection des fuites de données

2- Aperçu

Télécharger et installer Maltrail

Avis de la rédaction

Installation - 8.4
Utilisation - 7.9
Performances - 6.7

7.7

User Rating: Be the first one !

A propos de VLADIMIR AMAN

Est un professionnel de la cybersécurité justifiant d'une expérience de plus de 10 ans dans le domaine de la cybersécurité, à différentes fonctions au sein d’organisations étatiques. Fort de son background universitaire en criminologie appliquée, il a acquis de solides compétences techniques en sécurité informatique offensive, forensique, hacking éthique et management de la sécurité de l’information, sanctionnées par les certifications internationales les plus prestigieuses du marché (CISSP, OCIPA, ISO 27001 Lead Auditor/lead implementer, ISO 27032 Lead Cybersecurity Manager, Certified Ethical Hacker). Auteur, blogueur, conférencier, il est créateur du site "hacktu Magazine" et auteur de plusieurs ouvrages liés à la cybersécurité et la cybercriminologie.

Voir aussi

BruteShark : Outil open source d’analyse forensique du réseau

BruteShark est un outil d'analyse forensique de réseau qui effectue un traitement et une inspection approfondis du trafic réseau (principalement des fichiers PCAP, mais il est également capable de capturer directement en direct à partir d'une interface réseau).

Développé et mis en ligne par Remetou Design
© Copyright 2026, Tous droits réservés