Behave! 浏览器监控插件教学文档

1. 概述

Behave! 是一款针对浏览器页面活动的监控插件，主要用于检测和防范Web页面中的可疑行为。该工具由MindedSecurity开发，目前仍处于开发阶段。

2. 主要功能

2.1 浏览器端口扫描活动监控

• 检测Web页面尝试访问特定IP地址范围的行为
• 监控以下IP地址的访问尝试：
  • IPv4本地回环地址：127.0.0.1/8
  • IPv6本地回环地址：::1/128
  • IPv4私有地址：
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16
  • IPv6唯一本地地址：fc00::/7

2.2 针对私有地址的DNS解析行为监控

• 检测恶意脚本控制浏览器连接FQDN（完全限定域名）的行为
• 检查解析后的IP地址是否为私有地址
• 仅在端口开放时才会触发警报

2.3 DNS重绑定攻击防护

• 不执行直接DNS请求，从拦截的响应中获取IP地址
• 有效防范TOCTOU（Time of Check to Time of Use）攻击
• 不受DNS重绑定攻击影响

2.4 DNS重绑定监控

• 持续追踪主机名解析情况
• 当主机名解析为多个IP地址（混合公共IP和私有IP）时发出警告

3. 安装方法

3.1 从源码安装

1. 克隆项目仓库：

   git clone https://github.com/mindedsecurity/behave.git
   

2. 解压源码
3. 打开Google Chrome或Chromium浏览器
4. 访问 chrome://extensions
5. 激活开发者模式
6. 点击"加载已解压的扩展程序"，选择Behave!目录

3.2 直接安装插件

• 火狐浏览器插件：[下载链接]
• Chrome浏览器插件：[下载链接]

4. 使用说明

1. 安装完成后，插件会自动开始监控浏览器活动
2. 可疑活动会记录在日志中
3. 示例监控页面：at.tack.er（测试用）

5. 技术特点

1. 无外部DNS请求：所有IP地址信息来自拦截的响应，提高安全性
2. TOCTOU攻击防护：通过避免时间差检查防止此类攻击
3. 精确监控：仅在端口开放时触发警报，减少误报
4. 持续追踪：对DNS解析进行持续监控，检测异常解析行为

6. 适用场景

1. Web安全研究
2. 恶意网站行为分析
3. 内部网络安全监控
4. 防范基于浏览器的攻击

7. 项目信息

• 项目地址：https://github.com/mindedsecurity/behave
• 开发状态：开发中
• 相关标签：#web安全 #浏览器插件 #浏览器扩展

8. 注意事项

1. 该工具仍处于开发阶段，可能有不完善之处
2. 建议在测试环境中先验证功能
3. 监控日志需要定期检查以确保安全性
4. 对于高级用户，可以考虑自定义监控规则