1

我已经使用以下 tcpdum 命令捕获了一些数据。

tcpdump -i eth1 -w eth1_data.pcap -X

之后,我运行以下命令来eth1_data.pcap使用Bro.

bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }"

我正在使用 Bro 2.4.1 版本。除了上述命令之外,我没有更改任何配置。执行上述命令后会生成很多文件。现在我必须找到一些社交网站传输的字节,例如 htts://www.twitter.com。我没有在 http.log 中找到有关上述站点的正确信息。

我知道 https 网站的内容是加密的,但可以提取元数据(因为 app_stats.log 也提供了一些信息)。

我应该UID从中挑选ssl.log然后找到从 conn.log 传输的具有相同 uid 的 resp_ip_bytes 是否正确?

或者任何其他方式来获取 https 站点的元数据信息?

4

1 回答 1

3

听起来您已经走在正确的道路上。

使用时要记住的一个小注意事项resp_ip_bytes是,其大小将包括每个数据包的 IP 和 TCP 标头。此外,该数量中没有考虑 TCP 重组,因此即使没有发送新数据,数据包重传也会增加数量。如果您正在查找内容正文大小,则应使用该resp_bytes字段,但请记住,这仍将包含所有 SSL/TLS 帧,并且该计数的内容将被压缩。

我想说明的另一个小提示是,app_stats由于缺乏维护和该方法的一般问题,我们从 2.5 中删除了该脚本。

你有什么特别想要的吗?

于 2017-03-01T07:44:30.987 回答