bro

3热度

1回答

我的目标是运行bro --iface <interface>之类的命令并获取conn.log，但我无法从Bro文档或手册页中知道如何执行此操作。谢谢。

2热度

1回答

新手问题在这里：我安装了兄弟在一个新的Ubuntu。我运行bro并从该Ubuntu创建http请求。 bro记录我得到的回应，但我没有看到OUTGOING请求的任何日志。当我发送http请求到安装在该Ubunu上的apache服务器时，我看到请求到达日志。我正在监视正确的网卡。 Wireshark确实看到了传出的流量。我需要做什么来获取日志兄弟2.4.1（从bro.org下载tar.gz

4热度

2回答

如何写http层嗅探器

我想写一个应用层嗅探器（SMTP/ftp/http）。根据我的搜索，首先（也许是最难！）的步骤是重新组装sniffed连接的tcp流。事实上，我需要的是类似wireshark的“遵循TCP流”选项，但我需要一个工具，它可以在实时界面上自动执行。据我所知，Tshark可以从保存的pcap文件中自动提取TCP流数据（link），但不能从实时接口中提取。 Tshark可以在现场接口上做到吗？我知道，

2热度

1回答

提取文件匹配bro签名

我写了一个签名以匹配http responses中的小iframes。这工作正常，我得到在signatures.log和notice.log条目。我想以提取打这个sig任何文件，所以我可以有一个仔细看看，如果我看signature_match事件中，我可以看到在数据变量http内容 - 我应该只是输出这些数据传输到一个文件，或者有一种方法可以使用file_extract功能来正确提取文件。我

2热度

2回答

Bro IDS - 检测DDoS攻击

我需要使用BRO IDS来检测DDoS攻击。我从bro.org安装了bro 2.2，然后我检查了如何做这个分析。有人建议我使用synflood.bro来检测DDoS攻击。这是合乎逻辑的。我正在尝试使用synflood.bro。首先，我无法在bro2.2软件包中找到它。所以，我下载了它从互联网上（http://www.filewatcher.com/m/synflood.bro.3792-0.htm

0热度

1回答

Ldap在Bro的活动IDS

我必须为兄弟实施dsniff版本作为我的最后一年项目。因此，我开始编写bro脚本，在其中使用由Bro实施的协议事件。事情是Bro没有为所有的协议实现事件，LDAP是BRO中缺少事件的协议之一。所以我想知道实现这个目标的最好方法是什么。我的意思是：我是否需要为这些协议添加解剖器和事件，还是需要使用我错过的某些功能？（我是兄弟新手）非常感谢您的帮助。

2热度

1回答

如何使用bro从pcap文件生成software.log？

我试图从我的PCAP文件生成software.log文件，默认bro -r my.pcap似乎生成一些日志文件，但不是这个。在谷歌搜索关于添加local到底是应该修复它，但它没有。

1热度

2回答

如何分析捕获的网络流量？

1热度

1回答

Bro脚本从IP地址查找主机名

我已经使用Input :: add_table函数编写了一个bro脚本来查找IP及其相应的主机名并将它们插入到conn_id记录中 - 以便我拥有id.source_name &每个日志文件中的id.destination_name。这可以正常工作，除非发生隧道事件，并且会导致分段错误导致Bro崩溃。我怀疑这是与封装ID有关，但我不知道。我知道我可以为每个类型的Info记录添加src & dest