@(教程)[bro]
bro 可以從網路上記錄所有的http流量到http.log檔案,這個檔案可以用於分析或審計
首先我們介紹http.log檔案的結構
然後介紹如何通過bro分析和監視http流量
http log 的結構
http.log 概括了所有bro監視到的http請求和回應,這是http.log的頭幾列
tsuid
orig_h
orig_p
resp_h
resp_p
13116234.8
hsh4uv8kvjq
192.168.1.100
52303
192.150.187.43
80
每乙個單行都是以時間戳開始 ,uid, 連線資訊4元組(源位址和埠,目的位址和埠)剩下的資訊詳細描述了發生的活動
method
host
urireferrer
user_agent
getbro.org
-<…>chrome/12.0.742.122<…>
網路管理員和安全工程師可以通過這個日誌檔案觀察網路活動,分析異常情況
要想詳細了解bro是如何分析http流量的,可以參考scripts/base/protocols/http/main.bro
偵測**伺服器
**伺服器往往為沒有訪問許可權的裝置提供訪問伺服器的功能,,一些未認證的**伺服器應此被認為是存在威脅的,
**伺服器的流量應該是什麼樣的
通常情況下,客戶端和**伺服器的通訊應該是這樣的:
這和客戶端伺服器直接通訊的不同點在於,直接通訊的請求不應該有」http」字串,所以可以通過這個判斷這是個**伺服器
我們可以編寫乙個指令碼處理http_reply 檢測 get http:// 請求
我們通過檢測是請求中含有「get http://「 返回狀態為 」200 ok「 的資料來進行判斷
但是http協議中不止200 ok一種狀態,我們可以擴充套件這個指令碼來實現更嚴謹的判斷
接下來,我們需要確定**是我們本地網路的一部分
最後,我們的目標是當檢測到**服務的時候發出報警資訊
我們定義了乙個新的通知tag: open_proxy檢查檔案一旦通知被觸發,將 suppress 一天
這條通知僅寫到notice.log檔案中,通過配置email也可以使用email
通常檔案會通過http協議傳輸,大多數情況下這些檔案是無害的,但是有些可執行程式隱藏在其中是有害的,我們可以通過檔案分析框架(file analysis framework)來將這些檔案拷貝乙份
global mime_to_ext: table[string] of string = ;
event file_sniff(f: fa_file, meta: fa_metadata)
這裡 「mime_to_ext」 表有2個作用,定義了要分析的檔案型別,及mime型別分析的檔案被儲存在 extract_files 資料夾下
tcpdump dns流量監控
為了看清楚dns通訊的過程,下面我們將從主機1 192.168.0.141上執行host命令以查詢主機www.jd.com對應的ip位址,並使用tcpdump抓取這一過程中lan上傳輸的乙太網幀。具體的操作過程如下 tcpdump i eth0 nt s 500 port domain 然後在另外乙...
iftop 監控 網絡卡流量
在類unix系統中可以使用top檢視系統資源 程序 記憶體占用等資訊。檢視網路狀態可以使用netstat nmap等工具。若要檢視實時的網路流量,監控tcp ip連線等,則可以使用iftop。iftop是類似於top的實時流量監控工具。官方 http www.ex parrot.com pdw if...
shell監控網絡卡流量
最近出現了由於網路阻塞訪問庫出現問題現象,現紀錄下,怎麼排查由於網路阻塞影響的問題指令碼,方便查閱 bin bash watch n 1 monitor.sh 2 timer 1 echo eth rx tx for i in ifconfig grep encap awk doeth i rxpr...