Condor2026/Nebula_AntiScan2

GitHub: Condor2026/Nebula_AntiScan2

NEBULA ANTISCAN 是一款聚合多个 OSINT 和威胁情报源来实时检测、地理定位并分类恶意扫描 IP 的防御性网络安全监控工具。

Stars: 1 | Forks: 0

![Version](https://img.shields.io/badge/version-1.3-blue) ![Release](https://img.shields.io/badge/release-stable-brightgreen) ![License](https://badgen.net/badge/license/GPLv3/blue) ![Python](https://img.shields.io/badge/python-3.8+-blue) ![Platform](https://img.shields.io/badge/platform-Linux%20%7C%20macOS%20%7C%20Termux-lightgrey) ![OSINT](https://img.shields.io/badge/OSINT-Sí-brightgreen) ![Passive](https://img.shields.io/badge/Passive-Yes-blue) ![Analytical](https://img.shields.io/badge/Analytical-Yes-blue) ![Threat Intel](https://img.shields.io/badge/Threat%20Intel-Enabled-blue) ![Botnet Detection](https://img.shields.io/badge/Botnet%20Detection-🔥-orange) ![CIDR Support](https://img.shields.io/badge/CIDR%20Support-Yes-green) ![VirusTotal](https://img.shields.io/badge/VirusTotal-API%20Ready-orange) ![Dashboard](https://img.shields.io/badge/Web%20Dashboard-Cyberpunk-ff69b4) ![PRs Welcome](https://img.shields.io/badge/PRs-welcome-brightgreen)

Typing animation

**NEBULA ANTISCAN** 是 Andromeda 的演示版本。 # 🛡️ NEBULA ANTISCAN v2.0 – 实时激进扫描检测器 **NEBULA ANTISCAN** 是一款网络防御工具，旨在检测、地理定位和分类针对关键基础设施的**激进和非法扫描**。它的诞生有着明确的理念：*“了解敌人是防御的第一步”*。因此，其设计优先考虑透明度、道德规范和威胁情报。 Nebula – 威胁检测演示（恶意软件、Killnet IP、激进扫描） ⚠️ Nebula 是一个更庞大（未公开）的反情报系统的受限公开演示。它仅展示了其实际能力的一小部分。不包含完整的关联引擎、高级分析面板或私有系统的实时情报。 ## 📌 目录 - [✨ NEBULA ANTISCAN 是做什么的？](#-qué-hace-Nebula-AntiScan) - [⚙️ 核心特性](#️-características-clave)2 - [🛠️ 技术与架构](#️-tecnología-y-arquitectura) - [📊 集成的 OSINT 来源](#-fuentes-osint-integradas) - [🧠 威胁情报](#-inteligencia-de-amenazas) - [🖥️ 终端模式](#️-modo-terminal) - [🌐 交互式 Web 模式](#-modo-web-interactivo) - [🔗 集成 VirusTotal](#-integración-con-virustotal) - [📥 安装与使用](#-instalación-y-uso) - [📁 项目结构](#-estructura-del-proyecto) - [⚖️ 道德、法律与数据保护](#️-ética-legalidad-y-protección-de-datos) - [🤝 贡献与未来](#-contribuciones-y-futuro) - [📄 许可证](#-licencia) ## ✨ NEBULA ANTISCAN 是做什么的？ NEBULA ANTISCAN 可在全球范围内自动检测**恶意扫描**。无需手动检查黑名单或服务器日志，该工具可以： - 🔍 实时下载 **73 个 OSINT 来源**（Blocklist.de、DShield、Spamhaus、Emerging Threats、FireHOL、GreenSnow、AlienVault、CIRCL、Maltrail 等）以及**超过 80 个情报源**。 - 🌍 **地理定位**每个 IP 的国家、国家代码、ASN 和组织。 - 🔥 **分类** IP 所属的 botnet（ThreatFox、CI Army、Feodo、Spydi、MaxMind、BinaryDefense 等）以及攻击组织（Killnet、NoName057(16)、DarkStorm、RootSec、Coup、Electus、BotnetKingdom...）。 - 📊 在终端**显示**结果，采用编号格式、ANSI 颜色和交互式命令（`vt`、`top`、`q`）。 - 🖥️ **提供**赛博朋克风格的 Web Dashboard，包含统计数据、分页、时间演变图表、上下文面板和 JSON 下载。 ## ⚙️ 核心特性 | 特性 | 描述 | |----------------|-------------| | 🔁 **User‑Agent 轮换** | 模拟不同的浏览器和操作系统（130 个唯一的 UA）。 | | 🧠 **支持 CIDR 范围** | 除了单个 IP 外，还能检测整个网络（例如 `192.168.1.0/24`）。 | | 🔎 **稳健的标准化** | 适应每个来源的提取方式（平面列表、CSV、DShield 格式、Spamhaus 等）。 | | 📊 **高级分类** | 使用每 6 小时更新一次的源，为 IP 标记 🔥（botnet）和 🚩（组织）。 | | 🔗 **事件间关联** | 按同一 botnet 或组织对 IP 进行分组，并显示频率。 | | 🌐 **交互式 Web 界面** | 包含柱状图、上下文面板（活跃组织、主要国家、主要 botnet）、按来源筛选和 JSON 下载。 | | 🖥️ **完整的终端菜单** | 7 个命令即可执行所有功能，无需打开浏览器。 | | 🔌 **VirusTotal API（可选）** | 如果您有密钥，可通过信誉和检测结果丰富数据。 | | 💾 **本地存储** | 所有数据均以 JSON 格式保存，无需外部数据库。 | ## 🛠️ 技术与架构下图展示了从数据源到输出的数据流： ![NEBULA ANTISCAN 架构](https://raw.githubusercontent.com/Condor2026/Nebula_AntiScan2/main/images/arquitectura.png) *(图表位于 `/images` 文件夹中)* ### 主要组件 | 模块 | 描述 | |--------|-------------| | **收集器** | 每 30 秒遍历一次 73 个数据源，提取 IP 和 CIDR 范围，处理特殊格式。 | | **检测引擎** | 标准化、地理定位（带缓存）并应用组织/botnet 情报。 | | **后台情报** | 每 6 小时更新超过 80 个情报源，且不会中断监控。 | | **存储** | 每日 JSON、最新 IP 和地理缓存。 | | **输出** | 带有颜色和命令的终端（`vt`、`top`、`q`），使用 Flask 构建并具有自动刷新功能的 Web Dashboard。 | ## 📊 集成的 OSINT 来源 NEBULA ANTISCAN 依赖于**73 个活跃来源**，它们实时报告恶意 IP（完整列表见代码）。其中最重要的包括： | 类别 | 来源 | |-----------|---------| | **主动扫描器** | Blocklist.de（5 个子列表）、DShield、SANS ISC、AlienVault OTX | | **恶意软件与 C2** | Feodo Tracker、ThreatFox、Spydi ThreatIntel（3 个级别）、Malware Patrol | | **Botnets** | FireHOL（4 个级别）、GreenSnow、CI Army、CIRCL、Maltrail | | **Spamhaus** | EDROP、DROPv6 | | **住宅代理** | MaxMind High‑Risk、IPIDEA（未来）、SocksEscort（未来） | | **聚合器** | CINS Army、Ultimate IP Blacklist、IPsum、Blackbook | | **特定组织** | Killnet、NoName057(16)、DarkStorm、RootSec、Coup、Electus、BotnetKingdom | ## 🧠 威胁情报除了扫描来源外，NEBULA ANTISCAN 还集成了**超过 80 个情报源**，用于按 botnet 和攻击组织对 IP 进行分类。示例： | 源 | 标签 | 类型 | |------|----------|------| | ThreatFox | 🔥 ThreatFox | Botnet | | CI Army | 🔥 CI Army | Botnet | | Emerging Threats | 🔥 EmergingThreats | Botnet | | FireHOL | 🔥 FireHOL | Botnet | | GreenSnow | 🔥 GreenSnow | Botnet | | Feodo Tracker | 🔥 Feodo/Mirai | Botnet | | AlienVault OTX | 🔥 AlienVault | Botnet | | DShield | 🔥 DShield | Botnet | | Spamhaus | 🔥 Spamhaus | Botnet | | URLhaus | 🔥 URLhaus | Botnet | | MaxMind | 🔥 MaxMind Proxy | Botnet | | BinaryDefense | 🔥 BinaryDefense | Botnet | | BruteforceBlocker | 🔥 Bruteforce Blocker | Botnet | | Spydi (高/中/低) | 🔥 Spydi (级别) | Botnet | | Killnet | 🚩 Killnet | 组织 | | NoName057(16) | 🚩 NoName057(16) | 组织 | | DarkStorm | 🚩 DarkStorm Team | 组织 | | RootSec | 🚩 RootSec | 组织 | | Coup | 🚩 Coup | 组织 | | Electus | 🚩 Electus | 组织 | | BotnetKingdom | 🚩 BotnetKingdom | 组织 | 这些源每 6 小时在后台自动更新，不会中断主监控程序。 ## 🖥️ 终端模式运行 NEBULA ANTISCAN 时，会出现一个包含 **7 个选项**的菜单： ``` 1. 🚀 Iniciar monitor en tiempo real (ciclos de 30s) 2. ⚡ Ejecutar un solo ciclo de escaneo (prueba rápida) 3. 📊 Ver estadísticas globales (top países, ASN, botnets, grupos) 4. 📰 Ver últimas 50 IPs detectadas 5. 🌐 Iniciar servidor web (dashboard cyberpunk) 6. 🔗 Generar enlaces VirusTotal (con API si hay clave) 7. 🚪 Salir ``` ### 实时监控（选项 1） - 每 30 秒显示一次 IP，采用编号格式、颜色和列布局： ``` [15:18:28] IPs obtenidas: 3267 únicas 1. 185.130.5.123 Russia ASN:AS201814 Some Provider 🔥ThreatFox 🚩Killnet 2. 45.155.205.5 Netherlands ASN:AS20495 Some VPS 🔥Spydi (Alta) 🚩- ``` - **交互式命令**： - `vt` – 生成包含 VirusTotal 链接的文件（如果有 API 密钥，还会包含信誉摘要）。 - `top` – 显示历史上最活跃的 IP。 - `q` – 退出监控。 ## 🌐 交互式 Web 模式选择 **选项 5** 时，会在 `http://localhost:5091` 启动一个 Flask 服务器。该 Dashboard 提供： - 📊 **实时统计**：总 IP 数、不同国家数、不同 ASN 数、检测到的 botnet。 - 📋 **分页表格**：每页 30 个 IP，包含列：#、IP、国家、ASN、组织、🔥、🚩、📡 来源、最后出现时间。 - 📥 **JSON 下载按钮**，用于导出所有数据。 - 🔄 **自动刷新**，每 30 秒一次。 - 🖥️ **赛博朋克设计**：黑色背景、霓虹绿、橙色、现代字体。 - 📈 **时间演变图表**（过去 7 天）。 - 🧠 **上下文面板**（最活跃的组织、主要国家、主要 botnet、最活跃的来源）。 - 🔎 **筛选器**（全部、仅 botnet、仅组织、按来源）。 ## 🔗 集成 VirusTotal NEBULA ANTISCAN 可以与 **VirusTotal API** 集成（可选）。您只需： 1. 在 [VirusTotal](https://www.virustotal.com/gui/join-us) 获取免费密钥（每天 500 次查询）。 2. 编辑 `Nebula_AntiScan.py` 文件，并将您的密钥粘贴到 `VT_API_KEY` 变量中。配置完成后，在监控期间的 `vt` 命令或菜单的选项 6 都将生成一个**包含信誉摘要**的链接文件（例如 `5/87 detections`）。如果没有密钥，该工具将仅生成链接而不查询 API。 ## 📥 安装与使用 ### 前置条件 - Python 3.8 或更高版本 - 网络连接 ### 在 Termux (Android) 上 ``` pkg update && pkg upgrade -y pkg install python git -y pip install -r requirements.txt git clone https://github.com/Condor2026/Nebula_AntiScan2 cd Nebula_AntiScan2 python Nebula_AntiScan2.py ``` ### 在 Linux / macOS 上 ``` git clone https://github.com/Condor2026/Nebula_AntiScan2 cd Nebula_AntiScan2 pip install -r requirements.txt python Nebula_AntiScan2.py ``` ### 使用脚本快速安装 (Linux/macOS/Termux) ``` chmod +x install.sh ./install.sh python Nebula_AntiScan2.py ``` ### 在 Linux / macOS 上 ``` git clone https://github.com/Condor2026/Nebula_AntiScan cd Nebula_AntiScan2 pip install -r requirements.txt python Nebula_AntiScan2.py ``` ## 📁 项目结构 ``` nebula-antiscan/ ├── README.md ├── LICENSE ├── DISCLAIMER.md ├── requirements.txt ├── install.sh ├── Nebula_AntiScan2.py # Código principal (monolítico) └── images/ └── arquitectura.png # Diagrama de arquitectura ``` （代码被刻意设计为单体结构：这有利于可移植性、在 Termux 上运行以及进行局部贡献。） ## ⚖️ 道德、法律与数据保护 - **不扫描外部网络** – NEBULA ANTISCAN 仅查询已经执行过扫描的公开列表（被动 OSINT）。 - **不存储个人数据** – 仅存储 IP 地址和技术元数据（国家、ASN、组织）。 - **合法使用** – 该工具专为防御性网络安全、威胁情报和教育而设计。 - **透明度** – 所有代码均为开源且可验证。 - 有关更多详细信息，请查阅 `DISCLAIMER.md` 文件。 ## 📄 许可证本项目基于 **GPL v3** 许可证。有关更多详细信息，请查阅 `LICENSE` 文件。 **由 Condor2026 – SpectrumSecurity 为网络安全社区创建。** *愿您不会被扫描打得措手不及！🚀* ## 💰 支持本项目 NEBULA ANTISCAN 是基于 **GPL v3** 许可证的**100% 开源**项目。如果您觉得它有用，请考虑捐赠，以帮助维护和改进它： [GitHub Sponsors](https://github.com/sponsors/Condor2026)

标签：ESC4, Homebrew安装, OSINT, Python, 威胁情报, 密码管理, 开发者工具, 恶意IP检测, 无后门, 逆向工具, 配置错误