Phishing Catcher 项目安装与使用教程

1. 项目目录结构及介绍

Phishing Catcher 项目的目录结构如下：

phishing_catcher/
├── Dockerfile
├── LICENSE
├── README.md
├── catch_phishing.py
├── confusables.py
├── external.yaml
├── requirements.txt
└── suspicious.yaml

目录结构介绍

• Dockerfile: 用于构建 Docker 容器的文件。
• LICENSE: 项目使用的开源许可证文件，本项目使用 GPL-3.0 许可证。
• README.md: 项目的介绍文档，包含项目的安装、配置和使用说明。
• catch_phishing.py: 项目的启动文件，用于捕获可能的钓鱼域名。
• confusables.py: 处理域名混淆的 Python 脚本。
• external.yaml: 用户可自定义的配置文件，用于调整域名评分规则。
• requirements.txt: 项目依赖的 Python 包列表。
• suspicious.yaml: 默认的配置文件，包含域名评分的关键字和阈值。

2. 项目的启动文件介绍

catch_phishing.py

catch_phishing.py 是 Phishing Catcher 项目的启动文件，负责捕获可能的钓鱼域名。该脚本通过 Certstream API 监听 TLS 证书的颁发事件，并根据配置文件中的评分规则判断域名是否可疑。

启动命令

$ python catch_phishing.py

3. 项目的配置文件介绍

suspicious.yaml

suspicious.yaml 是 Phishing Catcher 的默认配置文件，包含两个主要的 YAML 字典：keywords 和 tlds。这些字典中的键是字符串，值是评分。当 TLS 证书的域名中包含这些字符串时，会根据评分规则进行评分。

external.yaml

external.yaml 是用户可自定义的配置文件，用于覆盖或添加新的评分规则。用户可以根据需要调整或添加字符串及其对应的评分。

配置示例

keywords:
  'login': 25

在这个示例中，当域名中包含 login 字符串时，会添加 25 分。如果总评分超过设定的阈值，该域名将被标记为可疑。

评分阈值

• 65 分: 潜在可疑
• 80 分: 可能可疑
• 90 分: 高度可疑

通过调整配置文件中的评分规则，用户可以自定义 Phishing Catcher 的行为，以适应不同的检测需求。