Dorothy2:一个开源的僵尸网络分析框架2

框架安装

一、 设置ESX环境

  1. 基本设置(ssh)

-在vSphere中设置:

Configuration->SecurityProfile->Services->Proprieties->SSH->Options->Start and Stopwith host->Start->OK

  1. 设置两个独立的虚拟网络

  2. 配置Windows虚拟机

禁用Windows防火墙

安装VMWare

配置静态IP

配置完成之后,使用vSphere控制台创建一个沙箱虚拟机的快照。

  1. 在vSphere中创建一个Unix虚拟机,用于NAM模块

-安装tcpdump和sudo

apt-get install tcpdump sudo

-为Dorothy创建一个专有用户(例如“dorothy”)

useradd dorothy

-在dorothy用户主目录下创建一个文件夹,用于保存网络数据

su dorothy

$mkdir /home/dorothy/pcaps

-添加dorothy用户权限

visudo

add the following line:

dorothy ALL = NOPASSWD:/usr/sbin/tcpdump, /bin/kill, /usr/bin/killall

-如果你打算在Linux系统上安装Dorothy,我建议你将pcapr和Dorothy gem安装在同一虚拟机中。

apt-get install ruby1.9.3 rubygems tshark zip couchdb

-开启couchdb服务器

/etc/init.d/couchdb start

-安装pcapr-local

gem install pcapr-local

-配置并开启pcapr-local,并配置用于保存网络输出数据的文件夹路径

$startpcapr

....

Which directory would you like to scan for indexable pcaps?[/root/pcapr.Local/pcaps]

/home/dorothy/pcaps

除此之外,建议允许pcapr访问所有的接口

What IP address should pcapr.Local run on? Use 0.0.0.0 to listenon all interfaces [127.0.0.1] 0.0.0.0

-设置全部正确的话,你应该可以访问下列url了

http//{ip-used-by-NAM}:8000

安装示例

  1. 基本安装-强烈建议用户采用下图所示的架构来安装Dorothy框架。

\

  1. 高级安装-建议企业环境下的用户采用下图所示的架构进行安装。

\

二、 安装依赖软件

  1. 安装postgres

$sudo apt-get install postgresql-9.1

http://www.postgresql.org/download/

  1. 安装下列数据包

$sudo apt-get install ruby1.9.3 rubygemspostgresql-server-dev-9.1 libxml2-dev libxslt1-dev libmagic-dev

  1. 如果你想要安装pcapr的话,运行下列命令

$sudo apt-get install tshark zip couchdb