我已经使用以下 tcpdum 命令捕获了一些数据。
tcpdump -i eth1 -w eth1_data.pcap -X
之后,我运行以下命令来eth1_data.pcap
使用Bro
.
bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }"
我正在使用 Bro 2.4.1 版本。除了上述命令之外,我没有更改任何配置。执行上述命令后会生成很多文件。现在我必须找到一些社交网站传输的字节,例如 htts://www.twitter.com。我没有在 http.log 中找到有关上述站点的正确信息。
我知道 https 网站的内容是加密的,但可以提取元数据(因为 app_stats.log 也提供了一些信息)。
我应该UID
从中挑选ssl.log
然后找到从 conn.log 传输的具有相同 uid 的 resp_ip_bytes 是否正确?
或者任何其他方式来获取 https 站点的元数据信息?