目前已经问题在修改,运行报错闪退
illegal IP address string passed to inet_aton问题已经找到没有添加ipv6过滤,最近两天会修复 6月5号前修复识别log文件内容的校验已经修复完成在打包上传了这两天 6月5号前修复
GIhutb下载地址:👉 https://github.com/CuriousLearnerDev/TrafficEye/releases
夸克网盘(windows_x64)(提取码:pyP4):👉 链接:https://pan.quark.cn/s/802adf374301
夸克网盘(linux_amd_x64)(提取码:3r7C):👉 链接:https://pan.quark.cn/s/8d6188476cc0
⚠️ 前置依赖:需安装tshark
安装命令如下:
sudo apt install tshark运行步骤如下:
unzip linux_amd_x64_0.0.8.zip # 解压
cd linux_amd_x64_0.0.8 # 进入目录
chmod +x main # 添加执行权限
./main # 启动程序✅ 已集成
tshark,免安装依赖
运行方法:
双击运行主程序即可
0.0.7版后源码不在公开
2025-05-25:可以看见匹配规则、风险等级、匹配位置、匹配风险位置等
2025-05-24:新增风险分析
2025-05-10:性能优化、数据与视图分离、避免重复加载相同的图标文件、减少GUI操作、模型只在需要时提供数据
2025-05-03:增加分析的IP访问URI统计
2025-05-02:日志分析的实时交互体验(动态更新)
2025-05-01:修复显示问题、优化LOG文件分析多核 CPU 并行处理能力
2025-04-28:全流量大文件分析内存优化,输出超过20万行时自动写入硬盘,降低内存占用
2025-04-28:性能优化,WEB日志log分析模块已经测试处理2GB文件及400万条数据
2025-04-26:默认AI识别、流量包二进制文件识别、不勾选,提升整体速度
2025-04-24:性能优化
2025-04-23:统计分析可以点击全屏
2025-04-20:指定请求URI、请求头、请求体AI分析,优化流量分析速度、界面修改、部分问题修复
2025-04-19:完善基本AI危险识别模块
2025-04-18:开始研发情报分析模块
2025-04-17:开始研发AI分析模块
2025-04-15:新增TLS解密功能
2025-04-14:界面优化功能优化
2025-04-13:新增二进制文件提取
2025-04-12:开始研发二进制文件提取
2025-04-11:开始界面修改
2025-04-10:开始编写正则
2025-04-10:开始修改核心代码
2025-04-09:开始日志提取模块
2025-04-08:开始日志提取正则
2025-04-06:开始重放功能
2025-04-05:开始设置输出数据流
等等等....
该工具的主要目标是对护网蓝队、流量分析的网络流量进行详细分析,识别潜在的安全威胁,特别是针对Web应用的攻击(如SQL注入、XSS、Webshell等),它通过模块化设计让用户能够根据需要选择和定制不同的功能,适用于安全研究人员、渗透测试人员和网络管理员等专业人士
-
✅
pyshark -
✅ 已完成
tshark调用优化,性能大幅提升(解析速度为pyshark的约 100 倍,原本几分钟的分析现在可在数秒内完成) -
✅自动识别文件类型进行分析
-
✅可以使用sslkeys.log对HTTPS的数据解密
-
🎯 全流量文件.pcapng、
- ✅ 支持输出Burp Suite的http数据
- ✅ 支持输出POST数据部分字节流格式
- ✅ 支持输出POST数据部原始16进制数据
- ✅ 支持过滤输出uri、过滤请求和响应
-
📄 LOG文件分析
- ✅ 支持Apache
- ✅ 支持Nginx
- ✅ 支持JSON
- ✅ 支持F5
- ✅ 支持HAProxy
- ✅ 支持Tomcat
- ✅ 支持IIS
-
🔁 数据重放
- ✅ 原封不动重放请求
- ✅ 发送完整二进制请求数据
- 按会话发送请求: 请求会按照建立的连接会话顺序发送,例如,在哥斯拉工具中,测试 Webshell 时会自动发送三次请求,这三次请求构成一个会话,输入会话 ID 后可以重放这三次请求,完全复现会话过程
-
📦 二进制文件提取支持:
- ✅ 支持:JAVA 序列化二进制数据
- ✅ 支持:C# 序列化数据
- ✅ 支持:C# Base64 序列化数据
- ✅ 支持:JAVA 字节码
- ✅ 支持:ZIP 文件
- ✅ 支持:7z 文件
- ✅ 支持:图片文件 (JPEG, PNG, GIF, BMP, TIFF等)
- ✅ 支持:音频文件 (MP3, WAV, FLAC等)
- ✅ 支持:视频文件 (MP4, AVI, MOV, MKV等)
- ✅ 支持:PDF 文件
- ✅ 支持:文档文件 (Word, Excel, PowerPoint, PDF等)
- ✅ 支持:压缩包文件 (RAR, TAR, GZ, ARJ等)
- ✅ 支持:邮件文件 (MBOX, PST, DBX, EML等)
- ✅ 支持:数据库文件 (SQLite, MySQL, MongoDB等)
- ✅ 支持:脚本和代码文件 (Python, JavaScript, PHP, Ruby, Java等)
- ✅ 支持:二进制文件签名检测(如:特定软件或硬件生成的二进制格式)
-
📊 统计
- ✅ 支持访问地址整理访问次数
- ✅ IP地址归属地
- ✅ 原始IP
- ✅ 使用的方法
- ✅ 访问次数
-
🧰 安全检测
- ✅ 信息泄露/目录遍历
- ✅ 敏感文件泄露
- ✅ 目录遍历
- ✅ 远程文件包含
- ✅ 本地文件包含
- ✅ 远程代码执行
- ✅ SQL注入攻击
- ✅ 跨站脚本攻击(XSS)
-
🧠 AI检测
- ✅ 支持指定URI分析,分析优化
- ✅ 支持自动化批量分析
- ✅ 支持指定请求头、请求体分析
仪表盘统计界面
流量文件二进制数据提取
LOG web文件分析
全流量接触可以拆分成更容易阅读的格式,方便我们分析流量
流量会话重放
- 原封不动重放请求
- 发送完整二进制请求数据
- 按会话发送请求: 请求会按照建立的连接会话顺序发送,例如,在哥斯拉工具中,测试 Webshell 时会自动发送三次请求,这三次请求构成一个会话,输入会话 ID 后可以重放这三次请求,完全复现会话过程
例如:哥斯拉会话id如下
我们就可以输入id发送这个请求
统计分析
正则验证
AI分析
截止到04月14号、模块开发情况
data_processing.py:(研发中)自定义数据处理模块,用于处理特定格式的流量或自定义解析逻辑
trafficeye_data.json:历史流量分析数据文件,持久化存储统计信息与分析记录
- 用于存放程序所需的图标资源(如 GUI、输出标识等)
cmdline.py:命令行接口模块,定义程序入口参数与CLI交互逻辑ip2region.xdb:IP 地理位置数据库文件,用于 IP 归属地识别xdbSearcher.py:ip2region查询工具类,执行高效 IP 查询bench_test.py/iptest.py/search_test.py:调试测试模块,用于测试 IP 匹配、性能基准等功能
log_identification.py:日志识别模块,用于匹配不同格式的日志并选择相应解析器
modsec_crs.py:OWASP ModSecurity Core Rule Set 规则引擎接口模块。rules/:存储 OWASP CRS 的规则文件与辅助数据(如 LFI/RFI/RCE/SQLi 等攻击规则)rules_APPLICATION_ATTACK_*.py:用于解析和执行特定攻击规则(LFI、RFI、RCE、SQLi)的脚本
- 主程序入口,用于加载配置、调度模块并启动流量处理流程
- 二进制文件识别、二进制文件提取模块
- 核心处理模块,负责 HTTP 请求/响应数据的解析、转换与提取关键字段
- WebShell 与恶意流量检测模块,针对特殊流量行为进行识别和告警
- 检查与分析工具模块,用于手动检查、特征提取或测试用途
- 公共模块,存放多个模块共享使用的函数、常量或基础类
- 过滤输出模块,根据用户定义的过滤条件筛选展示结果
- 请求重放模块,用于重现捕获的请求流量,实现漏洞复现或攻击模拟
- 规则筛选模块,结合用户配置对已加载规则进行按需启用、禁用或精细化过滤
- 会话管理工具,用于聚合、排序和提取多个 HTTP 请求/响应构成的会话信息
- URL 统计模块,分析访问频率、状态码分布等维度的统计数据
- 知攻善防实验室
- 雪娃娃
- 糖糖
- niuᴗu
- ✅ 日志告警联动系统
- ✅ 威胁情报 API 聚合(如 VT、CriminalIP、AbuseIPDB 等)
- ✅ 内置规则联动 ModSecurity 模拟检测
- ✅ 支持更多 WebShell 工具识别(Behinder、蚁剑等)
✨随着时间的推移,观星者
