这里的新手问题:我在一个新的 Ubuntu 上安装了 Bro。我运行 bro 并从该 Ubuntu 创建 http 请求。bro 记录了我收到的回复,但我没有看到任何 OUTGOING 请求的日志。当我向安装在该 Ubunu 上的 apache 服务器发送 http 请求时,我确实看到了请求到达日志。我正在监视正确的 NIC。Wireshark 确实看到了传出流量。我需要做什么才能获取日志
Bro 2.4.1(从 bro.org 下载 tar.gz) Ubuntu 14.04 使用代理。
谢谢
1072 次
1 回答
2
您的网卡可能支持校验和卸载,导致 Bro 在网卡在输出路径上提供有效校验和之前看到数据包。如果 Bro 看到无效的校验和,它将忽略该数据包。将生成正确的校验和并在 Bro 看到它之后插入到帧中,这对于您的目的来说为时已晚。
Bro至少有三种方法可以不忽略数据包:
- 将
-C标志添加到 bro 以忽略校验和验证 - 设置
redef ignore_checksums = T;为$PREFIX/share/bro/site/local.bro也忽略校验和验证。替换$PREFIX为 bro 安装目录,通常是/usr/local/bro. - 禁用 NIC 上的校验和卸载,
ethtool --offload <int> rx off tx off以便一开始就生成正确的校验和。替换<int>为您的接口名称。
于 2016-04-26T20:43:11.087 回答