下一代動態網路分析工具FakeNet-NG的Linux平台初體驗

在2016年，FLARE推出了一款用Python編寫的開源網路分析工具FakeNet-NG。 FakeNet-NG允許安全分析人員在單個Windows主機上使用標準或自定義協議來觀察網路應用程序並與其進行交互，這對惡意軟體分析和逆向工程特別有用。自從FakeNet-NG的推出以來，FLARE又對其進行了一些升級，比如增加了對附加協議的支持。 FakeNet-NG現在具有DNS，HTTP（包括BITS），FTP，TFTP，IRC，SMTP，POP，TCP和UDP以及SSL的即用支持。

不過更令分析人員高興的是，FLARE現在已將FakeNet-NG引入Linux。這允許分析人員在單個Linux主機上執行基本動態分析，或者在獨立的專用設備上使用INetSim搭建虛擬網路環境。雖然INetSim目前仍然是許多分析師的首選工具，但隨著FakeNet-NG的興起，分析師又多了一個用於惡意軟體分析的跨平台工具，FakeNet-NG可以直接與所有在安全領域不斷出現的基於Python的信息工具進行集成。

在Linux上下載和安裝FakeNet-NG

如果你正在運行REMnux，那麼就可以直接安裝FakeNet-NG了，現有用戶可以通過運行update-remnux命令來獲取它。

而對於其他Linux版本來說，設置和使用FakeNet-NG將需要Python pip包管理器，net-tools包以及OpenSSL，libffi和libnetfilterqueue的開發文件。至於如何快速獲得幾個常見的Linux發行版的相應先決條件，我們提供了以下兩大方法：

1. 在Debian和Ubuntu上，運行sudo apt-get install python-pip python-dev libssl-dev libffi-dev libnetfilter-queue-dev net-tools命令

2. 在Fedora 25和CentOS 7上：

yum -y update;yum -y install epel-release; #

yum -y install redhat-rpm-config; #

yum -y groupinstall Development Tools ;

yum -y install python-pip python-devel openssl-devel libffi-devellibnetfilter_queue-devel net-tools

一旦你的設備滿足了這些條件，就可以下載最新版本的FakeNet-NG，並使用setup.py install進行安裝。

Windows和Linux下的FakeNet-NG支持

在Linux上，FakeNet-NG可以在專用於網路模擬的單獨主機上以MultiHost模式部署，也可以在實驗中使用SingleHost模式進行本地分析軟體。 Windows僅支持SingleHost模式，默認情況下，FakeNet-NG配置運行在NetworkMode：Auto中，它將在Windows上自動選擇Windows或MultiHost模式下的SingleHost模式。下表列出了操作系統當前支持的NetworkMode設置。

FakeNet-NG對Linux上SingleHost模式的支持目前存在局限性。

首先，FakeNet-NG還不支持在Linux上對特定進程，主機或埠進行條件重定向，這意味著像ProcessWhiteList這樣的設置將無法正常運行，所以開發人員計劃在以後的版本中添加對這些設置的支持。同時，SingleHost模式支持將所有互聯網綁定的流量重定向到本地監控器，這也是惡意軟體分析人員的主要用例。

其次，python-netfilterqueue庫被硬編碼，以處理長度不超過4012個八位位元組的數據報。環回介面通常配置有最大傳輸單元（MTU）設置，以允許某些應用程序超過此硬編碼限制，從而導致意外的網路行為。可能由此引起異常的網路應用程序的示例將通過FTP的大型文件傳輸，因而對這個問題的解決方法就是重新編譯具有較大緩衝區大小的python-netfilterqueue或將環回介面即lo的MTU降低到4012或更小。

在Linux上配置FakeNet-NG

除了新的NetworkMode設置外，對FakeNet-NG的Linux支持還引入了以下Linux特定的配置項：

1.LinuxRedirectNonlocal，對於MultiHost模式來說，此設置指定以逗號分隔的網路介面列表，將所有流量重定向到本地主機，以便FakeNet-NG能夠對其進行回復。 FakeNet-NG的默認配置設置為*，它將FakeNet-NG配置為在所有介面上重定向。

2.LinuxFlushIptables，在為FakeNet-NG添加規則之前，LinuxFlushIptables配置項會刪除所有的iptables規則。原始規則作為FakeNet-NG關閉序列的一部分進行恢復，當你按Ctrl + C時，它就會被觸發。這樣可以減少出現意外終止的衝突，錯誤或重複規則的可能性，並在FakeNet-NG的默認配置中啟用。

在Linux上啟動FakeNet-NG

在使用FakeNet-NG之前，請確保禁用那些可能綁定到你計劃使用的FakeNet-NG監控器對應埠的任何服務，比如Ubuntu使用本地dnsmasq服務。你可以使用netstat來查找這些服務，並且應該參考你當下使用的Linux版所發行的文檔來確定如何禁用它們。

你可以通過使用root許可權調用fakeet啟動FakeNet-NG，如下圖所示。

你可以通過直接編輯FakeNet-NG輸出第一行顯示的文件，或者使用-c命令行選項創建副本並指定其位置來更改FakeNet-NG的配置。

總結

FakeNet-NG現在為Linux提供了一種基於Python的惡意軟體動態網路分析工具，同時也支持FakeNet-NG 在 Windows上使用監控器。 REMnux的用戶可以直接使用FakeNet-NG，而其他Linu的用戶可以使用標準的軟體包管理工具進行下載和安裝。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！