Internet-Architecture-and-Security/PacketScope

GitHub: Internet-Architecture-and-Security/PacketScope

PacketScope 是一个基于 eBPF 的通用协议栈分析与安全防御工具,解决服务器端网络性能和安全监控的痛点。

Stars: 1279 | Forks: 51

packetscope-logo

中文 · English

GitHub Release GitHub License
# PacketScope:服务器端的“智能铠甲” [![试用演示](https://img.shields.io/badge/🔥%20Try%20it%20now-PacketScope%20Demo-blue?style=for-the-badge)](http://82.156.141.213:4173/) **PacketScope** 是一个基于 eBPF 的通用协议栈分析与调试工具。它集成了性能优化、异常诊断和安全防御功能。旨在实现服务器端在网络协议栈层面对数据包的精细追踪与智能分析。通过解决性能瓶颈难以诊断、传输路径不清晰、底层攻击难以发现这三大痛点,PacketScope 提供可视化的智能端点安全分析与防御能力。 ![packetscope](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/503c7a3c89190827.jpg) ## 背景 随着社交平台、在线银行、大型AI模型、物流和出行服务的普及,开放服务器已成为关键的执行环境。这些服务器需要在对外公开访问的条件下兼顾性能与安全。传统的 WAF 和 IDS 工具在协议栈层存在防御盲区,PacketScope 应运而生: 通过协议追踪、路径可视化和智能分析,PacketScope 为服务器构建“智能铠甲”。 ## 🚀 核心能力 - 🧠 **智能引擎**:结合 eBPF 与 LLM,进行底层网络行为观测与智能安全防御 - 📊 **多维分析**:实时跟踪网络路径,统计时延、丢包、交互频率 - 🌐 **全局网络可视化**:映射全球路径与延迟,在拓扑图上呈现 - 🔐 **协议栈防御**:检测并拦截底层异常流量,覆盖传统 WAF/IDS 的盲区 - 🖥️ **用户友好界面**:专为安全工程师和运维人员设计的 GUI ## ⚡ 快速开始 ### 前置条件 开始之前,请确保您的系统已安装并运行 Docker: - **Docker**:版本 20.10 或更高 - **Docker Compose**:版本 2.0 或更高 验证您的 Docker 安装: ``` docker --version docker compose version ``` 如果未安装 Docker,请访问 [Docker 官方网站](https://docs.docker.com/get-docker/) 获取安装说明。 ### 一键部署 PacketScope 提供便捷的部署脚本,通过 Docker Compose 自动构建并启动所有服务。 #### 1. 克隆仓库 ``` git clone https://github.com/Internet-Architecture-and-Security/PacketScope.git cd PacketScope ``` #### 2. 运行部署脚本 以 root 权限执行启动脚本: ``` sudo bash starter.sh ``` 脚本将自动: - 检查您的 Docker 环境 - 停止任何现有服务 - 按正确顺序构建所有服务容器 - 启动所有服务 - 显示服务状态和访问信息 #### 3. 访问应用 部署完成后,打开浏览器访问: ``` http://localhost:4173/ ``` ### 服务端点 成功部署后,以下服务将可用: - **Web UI**:`http://localhost:4173` - **Guarder API**:`http://localhost:8080` - **Tracer API**:`http://localhost:8000` - **Analyzer-Monitor API**:`http://localhost:8010` - **Analyzer-Calculator API**:`http://localhost:8020` ### 管理服务 **查看服务状态:** ``` sudo docker compose ps ``` **查看服务日志:** ``` sudo docker compose logs -f ``` **查看特定服务的日志:** ``` sudo docker compose logs -f ``` **停止所有服务:** ``` sudo docker compose down ``` **重启服务:** ``` sudo docker compose restart ``` **重启特定服务:** ``` sudo docker compose restart ``` ## 📁 项目结构 ``` . ├── CODE_OF_CONDUCT.md # Code of Conduct ├── CONTRIBUTING.md # Contributing Guidelines ├── docker-compose.yml # Docker Compose configuration ├── Dockerfile # Frontend application Dockerfile ├── eslint.config.js # ESLint configuration ├── index.html # Application entry HTML ├── LICENSE # Project license ├── modules/ # Backend service modules │ ├── Analyzer/ # Analyzer module │ │ ├── Monitor/ # Traffic monitoring sub-module │ │ ├── Calculator/ # Protocol analysis sub-module │ │ └── README.md # Analyzer documentation │ ├── Guarder/ # Security protection module │ └── Tracer/ # Network tracing module ├── package.json # Node.js dependencies ├── package-lock.json # npm lock file ├── pnpm-lock.yaml # pnpm lock file ├── src/ # Frontend source code ├── public/ # Static assets ├── README.md # English documentation ├── README-zh_CN.md # Chinese documentation ├── SECURITY.md # Security policy ├── starter.sh # One-click deployment script ├── tailwind.config.js # Tailwind CSS configuration ├── TODOList.md # TODO list ├── tsconfig.app.json # TypeScript app configuration ├── tsconfig.json # TypeScript base configuration ├── tsconfig.node.json # TypeScript Node configuration ├── vite.config.ts # Vite build configuration └── vite-README.md # Vite usage instructions ``` ### 核心目录 - **modules/**:包含所有后端服务模块,每个模块都是一个独立的微服务 - **Analyzer/**:协议栈分析与流量监控服务 - **Guarder**:安全防护与威胁检测服务 - **Tracer**:网络路径追踪与拓扑分析服务 - **src/**:前端应用源代码,使用 React 和 TypeScript 构建 - **public**:静态资源文件,如图片和图标 - **starter.sh**:一键部署脚本,自动化构建并启动所有服务 ## ✨ 功能模块 PacketScope 由三个主要模块组成,每个模块承担特定功能: ``` modules ├── Analyzer # Python-based protocol stack analysis, traffic monitoring and fine-grained tracing module ├── Guarder # Go-based security policy module └── Tracer # Python-based network path mapping module ``` - **Analyzer** 提供数据包在协议栈中移动的多维统计,包括流量、时延、跨层交互频率和丢包情况。追踪连接/数据包在协议栈中的交互,并生成详细的可视化路径图。用户可以点击探索不同的协议层,了解数据流向。 - **Tracer** 映射从主机到任意全球 IP 地址的路由和延迟,将这些数据呈现在全局拓扑图上,提供优化洞见。 - **Guarder** 使用可自定义的规则筛选和控制异常数据包,并提供由 LLM 驱动的上下文洞察,帮助理解和响应潜在威胁。 ## 🧰 使用场景 - **网络协议栈性能优化**:识别瓶颈,提高传输效率 - **威胁检测与安全防御**:检测并阻止潜在攻击,如 DDoS 和 ARP 欺骗 - **故障诊断**:诊断由时延、丢包或异常跨层行为引发的问题 - **拓扑分析**:分析跨区域部署中的路径延迟和路由性能 - **工业互联网安全**:实时监控工业控制系统,确保安全与完整 ## ❤️ 参与贡献 欢迎提交 Issue 和 Pull Request!如果您发现错误或有建议,请开 Issue 或 PR。贡献指南请参阅 [CONTRIBUTING](./CONTRIBUTING.md)。 ## 许可证 本项目采用 MIT 许可证。详情请见 [LICENSE](./LICENSE)。
标签:C2, Docker镜像, LLM, Mutation, Unmanaged PE, 低层攻击检测, 协议栈分析, 可视化, 多维分析, 实时分析, 客户端加密, 异常诊断, 性能优化, 日志审计, 智能分析, 检测绕过, 端侧安全, 网络包分析, 网络安全, 网络调试, 自动化, 请求拦截, 路径追踪, 逆向工具, 隐私保护