NEBULA ANTISCAN es la demo de Andromeda.
NEBULA ANTISCAN es una herramienta de ciberdefensa diseñada para detectar, geolocalizar y clasificar escaneos agresivos e ilegales dirigidos a infraestructuras críticas.
Nace con una filosofía clara: “Conocer al enemigo es el primer paso para defenderte”. Por eso su diseño prioriza la transparencia, la ética y la inteligencia de amenazas.
Nota importante: NEBULA ANTISCAN detecta IPs que realizan escaneos de puertos, bruteforce y actividades de reconocimiento. No está diseñada para detectar ataques de denegación de servicio (DDoS), porque sus fuentes se centran en comportamientos de intrusión, no de saturación de ancho de banda.
Nebula – Demo de Detección de Amenazas (Malware, Killnet IPs, Escaneos Agresivos)
- ✨ ¿Qué hace NEBULA ANTISCAN?
- ⚙️ Características clave2
- 🛠️ Tecnología y arquitectura
- 📊 Fuentes OSINT integradas
- 🧠 Inteligencia de amenazas
- 🖥️ Modo terminal
- 🌐 Modo web interactivo
- 🔗 Integración con VirusTotal
- 📥 Instalación y uso
- 📁 Estructura del proyecto
- ⚖️ Ética, legalidad y protección de datos
- 🤝 Contribuciones y futuro
- 📄 Licencia
NEBULA ANTISCAN automatiza la detección de escaneos maliciosos a nivel global. En lugar de revisar manualmente listas negras o logs de servidores, la herramienta:
- 🔍 Descarga 73 fuentes OSINT en tiempo real (Blocklist.de, DShield, Spamhaus, Emerging Threats, FireHOL, GreenSnow, AlienVault, CIRCL, Maltrail, etc.) y más de 80 feeds de inteligencia.
- 🌍 Geolocaliza cada IP con país, código de país, ASN y organización.
- 🔥 Clasifica IPs por botnet (ThreatFox, CI Army, Feodo, Spydi, MaxMind, BinaryDefense, etc.) y por grupo de ataque (Killnet, NoName057(16), DarkStorm, RootSec, Coup, Electus, BotnetKingdom...).
- 📊 Muestra los resultados en terminal con formato numerado, colores ANSI y comandos interactivos (
vt,top,q). - 🖥️ Expone un dashboard web cyberpunk con estadísticas, paginación, gráficos de evolución temporal, panel de contexto y descarga JSON.
| Característica | Descripción |
|---|---|
| 🔁 Rotación de User‑Agent | Simula diferentes navegadores y sistemas operativos (130 UAs únicos). |
| 🧠 Soporte de rangos CIDR | Detecta redes enteras (ej. 192.168.1.0/24) además de IPs individuales. |
| 🔎 Normalización robusta | Adapta la extracción a cada fuente (listas planas, CSV, formato DShield, Spamhaus, etc.). |
| 📊 Clasificación avanzada | Marca IPs con 🔥 (botnet) y 🚩 (grupo) usando feeds actualizados cada 6 horas. |
| 🔗 Conexiones entre incidentes | Agrupa IPs por misma botnet o grupo y muestra frecuencias. |
| 🌐 Interfaz web interactiva | Gráficos de barras, panel de contexto (grupo activo, país predominante, botnet principal), filtros por fuente y descarga JSON. |
| 🖥️ Menú terminal completo | 7 comandos para ejecutar todas las funciones sin necesidad de abrir el navegador. |
| 🔌 API de VirusTotal (opcional) | Si tienes clave, enriquece los resultados con reputación y detecciones. |
| 💾 Almacenamiento local | Todo se guarda en JSON, sin necesidad de bases de datos externas. |
El siguiente diagrama muestra el flujo de datos desde las fuentes hasta las salidas:
(El diagrama se encuentra en la carpeta /images)
| Módulo | Descripción |
|---|---|
| Recolector | Itera sobre las 73 fuentes cada 30 segundos, extrae IPs y rangos CIDR, maneja formatos especiales. |
| Motor de detección | Normaliza, geolocaliza (con caché) y aplica inteligencia de grupos/botnets. |
| Intel en segundo plano | Actualiza más de 80 feeds de inteligencia cada 6 horas sin interrumpir el monitor. |
| Almacenamiento | JSON diario, últimas IPs y caché geográfica. |
| Salidas | Terminal con colores y comandos (vt, top, q), dashboard web con Flask y auto‑refresh. |
NEBULA ANTISCAN se alimenta de 73 fuentes activas que reportan IPs maliciosas en tiempo real (lista completa en el código). Algunas de las más importantes:
| Categoría | Fuentes |
|---|---|
| Escáneres activos | Blocklist.de (5 sublistas), DShield, SANS ISC, AlienVault OTX |
| Malware y C2 | Feodo Tracker, ThreatFox, Spydi ThreatIntel (3 niveles), Malware Patrol |
| Botnets | FireHOL (4 niveles), GreenSnow, CI Army, CIRCL, Maltrail |
| Spamhaus | EDROP, DROPv6 |
| Proxies residenciales | MaxMind High‑Risk, IPIDEA (futuro), SocksEscort (futuro) |
| Agregadores | CINS Army, Ultimate IP Blacklist, IPsum, Blackbook |
| Grupos específicos | Killnet, NoName057(16), DarkStorm, RootSec, Coup, Electus, BotnetKingdom |
Además de las fuentes de escaneo, NEBULA ANTISCAN incorpora más de 80 feeds de inteligencia para clasificar IPs por botnet y grupo de ataque. Ejemplos:
| Feed | Etiqueta | Tipo |
|---|---|---|
| ThreatFox | 🔥 ThreatFox | Botnet |
| CI Army | 🔥 CI Army | Botnet |
| Emerging Threats | 🔥 EmergingThreats | Botnet |
| FireHOL | 🔥 FireHOL | Botnet |
| GreenSnow | 🔥 GreenSnow | Botnet |
| Feodo Tracker | 🔥 Feodo/Mirai | Botnet |
| AlienVault OTX | 🔥 AlienVault | Botnet |
| DShield | 🔥 DShield | Botnet |
| Spamhaus | 🔥 Spamhaus | Botnet |
| URLhaus | 🔥 URLhaus | Botnet |
| MaxMind | 🔥 MaxMind Proxy | Botnet |
| BinaryDefense | 🔥 BinaryDefense | Botnet |
| BruteforceBlocker | 🔥 Bruteforce Blocker | Botnet |
| Spydi (Alta/Media/Baja) | 🔥 Spydi (Nivel) | Botnet |
| Killnet | 🚩 Killnet | Grupo |
| NoName057(16) | 🚩 NoName057(16) | Grupo |
| DarkStorm | 🚩 DarkStorm Team | Grupo |
| RootSec | 🚩 RootSec | Grupo |
| Coup | 🚩 Coup | Grupo |
| Electus | 🚩 Electus | Grupo |
| BotnetKingdom | 🚩 BotnetKingdom | Grupo |
Estos feeds se actualizan automáticamente cada 6 horas en segundo plano, sin interrumpir el monitor principal.
Al ejecutar NEBULA ANTISCAN, aparece un menú con 7 opciones:
1. 🚀 Iniciar monitor en tiempo real (ciclos de 30s)
2. ⚡ Ejecutar un solo ciclo de escaneo (prueba rápida)
3. 📊 Ver estadísticas globales (top países, ASN, botnets, grupos)
4. 📰 Ver últimas 50 IPs detectadas
5. 🌐 Iniciar servidor web (dashboard cyberpunk)
6. 🔗 Generar enlaces VirusTotal (con API si hay clave)
7. 🚪 Salir
- Muestra IPs cada 30 segundos con formato numerado, colores y columnas:
[15:18:28] IPs obtenidas: 3267 únicas
1. 185.130.5.123 Russia ASN:AS201814 Some Provider 🔥ThreatFox 🚩Killnet
2. 45.155.205.5 Netherlands ASN:AS20495 Some VPS 🔥Spydi (Alta) 🚩-
- Comandos interactivos:
vt– genera archivo con enlaces a VirusTotal (y si hay API clave, incluye resúmenes de reputación).top– muestra las IPs más activas históricamente.q– sale del monitor.
Al seleccionar la opción 5, se levanta un servidor Flask en http://localhost:5091.
El dashboard ofrece:
- 📊 Estadísticas en vivo: total IPs, países distintos, ASN distintos, botnets detectadas.
- 📋 Tabla paginada: 30 IPs por página con columnas: #, IP, País, ASN, Organización, 🔥, 🚩, 📡 Fuente, Última vez.
- 📥 Botón de descarga JSON para exportar todos los datos.
- 🔄 Actualización automática cada 30 segundos.
- 🖥️ Diseño cyberpunk: fondo negro, neón verde, naranja, fuentes modernas.
- 📈 Gráfico de evolución temporal (últimos 7 días).
- 🧠 Panel de contexto (grupo más activo, país predominante, botnet principal, fuente más activa).
- 🔎 Filtros (todas, solo con botnet, solo con grupo, por fuente origen).
NEBULA ANTISCAN puede integrarse con la API de VirusTotal (opcional). Solo necesitas:
- Obtener una clave gratuita en VirusTotal (500 consultas/día).
- Editar el archivo
Nebula_AntiScan.pyy pegar tu clave en la variableVT_API_KEY.
Una vez configurada, tanto el comando vt durante el monitor como la opción 6 del menú generarán un archivo de enlaces con resúmenes de reputación (ej. 5/87 detecciones).
Si no tienes clave, la herramienta genera solo los enlaces sin consultar la API.
- Python 3.8 o superior
- Conexión a Internet
pkg update && pkg upgrade -y
pkg install python git -y
pip install -r requirements.txt
git clone https://github.com/Condor2026/Nebula_AntiScan2
cd Nebula_AntiScan2
python Nebula_AntiScan2.pygit clone https://github.com/Condor2026/Nebula_AntiScan2
cd Nebula_AntiScan2
pip install -r requirements.txt
python Nebula_AntiScan2.pychmod +x install.sh
./install.sh
python Nebula_AntiScan2.pygit clone https://github.com/Condor2026/Nebula_AntiScan
cd Nebula_AntiScan2
pip install -r requirements.txt
python Nebula_AntiScan2.pyNota: Si no quieres usar
git, puedes descargar el ZIP directamente desde la página de GitHub y descomprimirlo.
nebula-antiscan/
├── README.md
├── LICENSE
├── DISCLAIMER.md
├── requirements.txt
├── install.sh
├── Nebula_AntiScan2.py # Código principal (monolítico)
└── images/
└── arquitectura.png # Diagrama de arquitectura
(El código es monolítico a propósito: facilita la portabilidad, la ejecución en Termux y las contribuciones puntuales.)
- No se escanean redes ajenas – NEBULA ANTISCAN solo consulta listas públicas que ya han realizado el escaneo (OSINT pasivo).
- No se almacenan datos personales – solo direcciones IP y metadatos técnicos (país, ASN, organización).
- Uso legítimo – la herramienta está diseñada para ciberseguridad defensiva, inteligencia de amenazas y educación.
- Transparencia – todo el código es abierto y verificable.
- Consulta el archivo
DISCLAIMER.mdpara más detalles.
¿Tienes ideas para mejorar NEBULA ANTISCAN? ¡Las contribuciones son bienvenidas!
- Reporta bugs en Issues.
- Envía pull requests con mejoras.
- Sugiere nuevas fuentes o funcionalidades.
Próximos pasos planeados:
- Soporte para IPv6.
- Integración con CrowdSec CTI.
- Alertas por Telegram / Correo.
- Exportación a formato STIX/TAXII.
- Base de datos local GeoLite2 para geolocalización offline.
- Más fuentes de inteligencia (IPIDEA, SocksEscort, etc.).
Este proyecto está bajo la licencia GPL v3. Consulta el archivo LICENSE para más detalles.
Creado por Condor2026 – SpectrumSecurity para la comunidad de ciberseguridad.
¡Que los escaneos no te pillen desprevenido! 🚀
NEBULA ANTISCAN es 100% código abierto bajo licencia GPL v3. Si te es útil, considera donar para ayudar a mantenerlo y mejorarlo:
⚠️ No uso PayPal. No respeta la privacidad.