Bro 監控 HTTP流量

2021-07-24 02:34:42 字數 2533 閱讀 9411

@(教程)[bro]

bro 可以從網路上記錄所有的http流量到http.log檔案,這個檔案可以用於分析或審計

首先我們介紹http.log檔案的結構

然後介紹如何通過bro分析和監視http流量

http log 的結構

http.log 概括了所有bro監視到的http請求和回應,這是http.log的頭幾列

tsuid

orig_h

orig_p

resp_h

resp_p

13116234.8

hsh4uv8kvjq

192.168.1.100

52303

192.150.187.43

80

每乙個單行都是以時間戳開始 ,uid, 連線資訊4元組(源位址和埠,目的位址和埠)

剩下的資訊詳細描述了發生的活動

method

host

urireferrer

user_agent

getbro.org

-<…>chrome/12.0.742.122<…>

網路管理員和安全工程師可以通過這個日誌檔案觀察網路活動,分析異常情況

要想詳細了解bro是如何分析http流量的,可以參考scripts/base/protocols/http/main.bro

偵測**伺服器

**伺服器往往為沒有訪問許可權的裝置提供訪問伺服器的功能,,一些未認證的**伺服器應此被認為是存在威脅的,

**伺服器的流量應該是什麼樣的

通常情況下,客戶端和**伺服器的通訊應該是這樣的:

這和客戶端伺服器直接通訊的不同點在於,直接通訊的請求不應該有」http」字串,所以可以通過這個判斷這是個**伺服器

我們可以編寫乙個指令碼處理http_reply 檢測 get http:// 請求

我們通過檢測是請求中含有「get http://「 返回狀態為 」200 ok「 的資料來進行判斷

但是http協議中不止200 ok一種狀態,我們可以擴充套件這個指令碼來實現更嚴謹的判斷

接下來,我們需要確定**是我們本地網路的一部分

最後,我們的目標是當檢測到**服務的時候發出報警資訊

我們定義了乙個新的通知tag: open_proxy

一旦通知被觸發,將 suppress 一天

這條通知僅寫到notice.log檔案中,通過配置email也可以使用email

檢查檔案

通常檔案會通過http協議傳輸,大多數情況下這些檔案是無害的,但是有些可執行程式隱藏在其中是有害的,我們可以通過檔案分析框架(file analysis framework)來將這些檔案拷貝乙份

global mime_to_ext: table[string] of string = ;

event file_sniff(f: fa_file, meta: fa_metadata)

這裡 「mime_to_ext」 表有2個作用,定義了要分析的檔案型別,及mime型別

分析的檔案被儲存在 extract_files 資料夾下

tcpdump dns流量監控

為了看清楚dns通訊的過程,下面我們將從主機1 192.168.0.141上執行host命令以查詢主機www.jd.com對應的ip位址,並使用tcpdump抓取這一過程中lan上傳輸的乙太網幀。具體的操作過程如下 tcpdump i eth0 nt s 500 port domain 然後在另外乙...

iftop 監控 網絡卡流量

在類unix系統中可以使用top檢視系統資源 程序 記憶體占用等資訊。檢視網路狀態可以使用netstat nmap等工具。若要檢視實時的網路流量,監控tcp ip連線等,則可以使用iftop。iftop是類似於top的實時流量監控工具。官方 http www.ex parrot.com pdw if...

shell監控網絡卡流量

最近出現了由於網路阻塞訪問庫出現問題現象,現紀錄下,怎麼排查由於網路阻塞影響的問題指令碼,方便查閱 bin bash watch n 1 monitor.sh 2 timer 1 echo eth rx tx for i in ifconfig grep encap awk doeth i rxpr...