girishatindra/nodewatch
GitHub: girishatindra/nodewatch
一款基于主机的实时网络流量观测与 OSINT 威胁狩猎平台,强调由分析师而非机器做出威胁判断。
Stars: 0 | Forks: 0
# NodeWatch - 网络观测与 OSINT 威胁狩猎平台
# 关于
***NodeWatch 能做什么?*** NodeWatch 使用 Scapy 捕获实时主机流量,并将其流式传输到交互式浏览器仪表板。流量以两种形式呈现:一个带有搜索和过滤功能的分页数据包表,以及一个映射捕获会话期间观察到的所有 IP 关系的交互式网络图谱。 对于任何外部 IP,分析师都可以通过 IPQuery API 触发按需的 OSINT 扩展,返回地理位置、ASN、ISP、VPN、Tor、数据中心标记以及欺诈风险评分,并在交互式地图上实时绘制地理位置。每个端口都直接链接到 SANS Internet Storm Center,以获取实时的社区威胁情报。每个服务名称都链接到上下文搜索。每个 ASN 都链接到 RDAP 查询引擎。 没有自动化威胁判定。不依赖云端。无需基础设施。只需一条命令,你就可以开始狩猎。
***NodeWatch 使用什么技术栈?*** - Scapy - 捕获实时数据包 - Flask SocketIO - 将数据包流式传输到前端 - Flask - 后端 - Alpine.js - 前端 - Vis.js - 交互式图表 - Leaflet.js - 交互式地图
***NodeWatch 有何不同?*** 大多数工具的设计都以用户友好为导向,其解释工作由复杂的算法和检测引擎完成,而 NodeWatch 则让用户自己去解释数据。它提供了人类做出判断所需的所有上下文,就目前的形式而言,NodeWatch 是基于主机的,监控连接到主机的节点,其主要目的是以不同形式呈现数据,提供不同的观察视角,并提供工具来获取上下文、构建证据,从而做出判断和解释。目前 NodeWatch 处于 MVP(最小可行性产品)阶段,仅提供数据包表和网络图谱,并且仅将 IPQuery 和指向 SANS Internet Storm Center 的超链接作为 OSINT 工具。
***如何使用 NodeWatch*** 1. 克隆此仓库 git clone https://github.com/girishatindra/nodewatch.git 2. 启动虚拟环境 python -m venv venv 3. 安装依赖项 pip install -r requirements.txt 4. 运行 flask 服务器 flask --run app.py 为了解基本的使用方法,你可以观看演示。 ***NodeWatch 会扩展吗?*** 目前作为 MVP,NodeWatch 仅实现了其背后的基本理念,其设计初衷就是为了能够进行扩展,以添加更多种类的可视化呈现等功能。
[](https://www.python.org/)
[](https://docs.python.org/3/library/tkinter.html)
[](https://pyinstaller.org)
[](https://haveibeenpwned.com/api/v3)
[](https://www.microsoft.com/en-in/windows?r=1)
***在自动化安全警报和 AI 主导的时代,NodeWatch 重新找回了分析师直觉的力量。***
NodeWatch 是一个基于主机的网络观测与 OSINT 威胁狩猎平台,其构建围绕着一个核心理念——由分析师做决定,而不是机器。
与依赖自动化判定和机器生成警报的传统安全工具不同,NodeWatch 清晰地呈现原始网络数据,并让人类自己得出结论。每个指标都是技术事实。每个结论都出自分析师本人。
# 关于
***NodeWatch 能做什么?*** NodeWatch 使用 Scapy 捕获实时主机流量,并将其流式传输到交互式浏览器仪表板。流量以两种形式呈现:一个带有搜索和过滤功能的分页数据包表,以及一个映射捕获会话期间观察到的所有 IP 关系的交互式网络图谱。 对于任何外部 IP,分析师都可以通过 IPQuery API 触发按需的 OSINT 扩展,返回地理位置、ASN、ISP、VPN、Tor、数据中心标记以及欺诈风险评分,并在交互式地图上实时绘制地理位置。每个端口都直接链接到 SANS Internet Storm Center,以获取实时的社区威胁情报。每个服务名称都链接到上下文搜索。每个 ASN 都链接到 RDAP 查询引擎。 没有自动化威胁判定。不依赖云端。无需基础设施。只需一条命令,你就可以开始狩猎。
***NodeWatch 使用什么技术栈?*** - Scapy - 捕获实时数据包 - Flask SocketIO - 将数据包流式传输到前端 - Flask - 后端 - Alpine.js - 前端 - Vis.js - 交互式图表 - Leaflet.js - 交互式地图
***NodeWatch 有何不同?*** 大多数工具的设计都以用户友好为导向,其解释工作由复杂的算法和检测引擎完成,而 NodeWatch 则让用户自己去解释数据。它提供了人类做出判断所需的所有上下文,就目前的形式而言,NodeWatch 是基于主机的,监控连接到主机的节点,其主要目的是以不同形式呈现数据,提供不同的观察视角,并提供工具来获取上下文、构建证据,从而做出判断和解释。目前 NodeWatch 处于 MVP(最小可行性产品)阶段,仅提供数据包表和网络图谱,并且仅将 IPQuery 和指向 SANS Internet Storm Center 的超链接作为 OSINT 工具。
***如何使用 NodeWatch*** 1. 克隆此仓库 git clone https://github.com/girishatindra/nodewatch.git 2. 启动虚拟环境 python -m venv venv 3. 安装依赖项 pip install -r requirements.txt 4. 运行 flask 服务器 flask --run app.py 为了解基本的使用方法,你可以观看演示。 ***NodeWatch 会扩展吗?*** 目前作为 MVP,NodeWatch 仅实现了其背后的基本理念,其设计初衷就是为了能够进行扩展,以添加更多种类的可视化呈现等功能。
标签:ESC4, Flask, OSINT, Python, 无后门, 逆向工具, 防御绕过