Nzyme 1.2.0 工具包的发布,旨在监控无线网络的无线电波,以识别恶意活动、部署虚假接入点、未经授权的连接以及执行标准攻击。该项目代码用Java编写,并在SSPL(服务器端公共许可证)下分发,该许可证基于AGPLv3,但由于在云服务中使用该产品存在歧视性要求,因此不开放。
通过将无线适配器切换到传输网络帧的监视模式来捕获流量。可以将截获的网络帧传输到 Graylog 系统进行长期存储,以便需要数据来分析事件和恶意活动。例如,该程序允许您检测未经授权的接入点的出现,如果检测到破坏无线网络的尝试,它将显示谁是攻击目标以及哪些用户受到了威胁。
该系统可以生成多种类型的警报,还支持各种检测异常活动的方法,包括通过指纹标识符检查网络组件和创建陷阱。它支持在网络结构被破坏时生成警报(例如,出现先前未知的BSSID)、与安全相关的网络参数发生变化(例如,加密模式发生变化)、检测典型攻击设备的存在(例如,例如,WiFi Pineapple),记录对陷阱的调用或确定行为的异常变化(例如,当个别帧出现非典型的弱信号级别或违反数据包到达强度的阈值时)。
除了分析恶意活动之外,该系统还可用于无线网络的一般监控,以及通过使用跟踪器来物理检测检测到的异常源,从而可以根据其特定的恶意无线设备逐步识别恶意无线设备。属性和信号电平的变化。管理是通过网络界面进行的。
在新版本中:
- 添加了对生成和发送有关检测到的异常、记录的网络和一般状态的电子邮件报告的支持。
- 添加了对检测尝试攻击的警告的支持,以阻止基于大量发送解除身份验证数据包的监控摄像头的操作。
- 添加了对有关识别以前未见过的 SSID 的警告的支持。
- 添加了对有关监控系统故障的警告的支持,例如,当无线适配器与运行 Nzyme 的计算机断开连接时。
- 改进了与基于 WPA3 的网络的兼容性。
- 添加了指定回调处理程序以响应警告的功能(例如,它们可用于将有关异常的信息记录到日志文件中)。
- 新增资源清单列表,显示正在监控的已部署网络的参数。
- 添加了攻击者个人资料页面,提供有关攻击者交互的系统和接入点的信息,以及有关信号强度和发送帧的统计信息。
来源: opennet.ru