我正在尝试在 Zeek 中编写我的第一个脚本,该脚本将允许对本地网络中客户端发送和接收的 TLS 数据包段进行统计(相同大小的数据包数量,发送数据包的 dest ip 列表)。不幸的是,我找不到合适的活动或指南来帮助我找到解决方案。我可以得到这个建议吗?
问问题
56 次
1 回答
0
Zeek 有一些数据包级别的事件可以帮助您入门:
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-new_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-raw_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-packet_contents
请注意这些事件附带的警告:它们会产生较高的每个事件开销,因为它们将为每个数据包生成,因此它们很可能不适合在实时流量上部署。
于 2020-09-21T21:06:53.203 回答