问题标签 [bro]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

69 问题
Newest
Active
Bountied
318
Unanswered
0 投票
2 回答
240 浏览

tcp - 如何编写http层嗅探器

我想写一个应用层嗅探器(SMTP/ftp/http)。

根据我的搜索,第一步(也许是最难的!)步骤是重新组装嗅探连接的 tcp 流。

事实上,我需要的是类似wireshark的“follow TCP stream”选项,但我需要一个在实时界面上自动执行的工具。据我所知,Tshark 可以自动从保存的 pcap 文件(链接)中提取 TCP 流数据,但不能从实时接口中提取。Tshark 可以在实时界面上做到吗???

据我所知,TCPflow 可以做我想做的事,但是,它不能处理 IP 碎片整理和 SSL 连接(我想在我有服务器私钥的情况下分析 SSL 内容)。

最后,我也尝试了兄弟网络监视器。尽管它提供了 TCP 连接列表 (conn.log),但我无法获取 TCP 连接内容。

欢迎对上述工具或任何其他有用工具提出任何建议。

在此先感谢,丹。

0 投票
2 回答
490 浏览

networking - 如何分析捕获的网络流量?

我有一些以下格式的网络流量:

Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size

我正在尝试确定此流量中是否存在任何已知的攻击。为此,我正在研究一些入侵检测系统。看起来SnortBro都要求转储为 pcap 文件以进行进一步的离线分析。我详细查阅了这两个系统的文档,但找不到任何处理我拥有的数据的选项。

有关如何执行此分析的任何建议?具体来说,我正在寻找以下内容之一:

  • 关于如何直接使用系统以纯文本形式分析此数据的一些指示
  • 将此数据转换为 PCAP 文件的工具,我以后可以在系统中使用该文件
0 投票
2 回答
2646 浏览

networking - Bro IDS - 检测 DDoS 攻击

我需要使用 BRO IDS 来检测 DDoS 攻击。我从 bro.org 安装了 bro 2.2,然后我检查了如何进行此分析。有人建议我用它synflood.bro来检测 DDoS 攻击。这是合乎逻辑的。

我正在尝试使用synflood.bro. 首先,我在 bro2.2 包中找不到它。所以,我从互联网上下载了它(http://www.filewatcher.com/m/synflood.bro.3792-0.html - 2012-07-24 bro-1.5.3.tbz/share/bro/synflood.bro

我有这个错误:

好的,很明显它找不到通知。但是,应该是什么“通知”。是文件夹还是什么?我想不通。

0 投票
1 回答
655 浏览

events - Bro IDS 中的 Ldap 事件

我必须为 bro 实现一个 dsniff 版本作为我的最后一年项目。因此,我首先编写了 bro 脚本,其中我使用了 Bro 实现的协议事件。问题是 Bro 没有为所有协议实现事件,而 LDAP 是 BRO 中缺少事件的协议之一。所以我想知道实现这一目标的最佳方法是什么。我的意思是:我需要为这些协议添加解析器和事件,还是需要使用我错过的一些功能?(我是兄弟的新手)

非常感谢您的帮助。

0 投票
1 回答
491 浏览

bro - 记录所有 Bro 流

我想记录 Bro 必须提供的所有流。我为一个流做了以下操作,但没有得到想要的答案。

我能得到任何帮助吗?

0 投票
1 回答
403 浏览

python - 兄弟 IDS 搜索

我以前从未使用过 Python 或 Perl。由于不可预见的情况,我从工作中得到了一个项目,希望你们中的一个人能提供帮助。我们将 BRO 用于 IDS 系统。我应该编写一个脚本来打开一个日志文件(.gz 格式),在日志中搜索保存在文本文件中的关键字列表,排除任何在另一个文件中列出关键字的结果,然后输出这些结果进入一个新的.gz。它应该每天运行 3 次。我不知道从哪里开始,但任何帮助都会非常有帮助,非常感谢。

0 投票
2 回答
77 浏览

logging - Bro 将地址记录到 WSO2 CEP 以进行处理

我有一个项目来执行bro日志的复杂事件处理,以检测任何安全滞后或攻击等。我已经完成了初步调查,发现 bro 生成了各种日志文件,我可以WSO2 CEP获取这些文件并编写Siddhi查询以进行事件处理。作为 WSO2 CEP 的事件接收器xmljson或者text作为消息格式,我是否需要更改 bro 日志文件的格式或者它们可以按原样工作?因为我没有碰巧找到任何将标准日志文件作为事件接收器的 WSO2CEP 样本?

0 投票
1 回答
441 浏览

security - 兄弟:只记录一个流

我的目标是运行类似命令bro --iface <interface>并仅获取 conn.log,但我无法从 Bro 文档或手册页中得知如何执行此操作。

谢谢。

0 投票
1 回答
1072 浏览

security - Bro 不记录传出的 HTTP 请求

这里的新手问题:我在一个新的 Ubuntu 上安装了 Bro。我运行 bro 并从该 Ubuntu 创建 http 请求。bro 记录了我收到的回复,但我没有看到任何 OUTGOING 请求的日志。当我向安装在该 Ubunu 上的 apache 服务器发送 http 请求时,我确实看到了请求到达日志。我正在监视正确的 NIC。Wireshark 确实看到了传出流量。我需要做什么才能获取日志

Bro 2.4.1(从 bro.org 下载 tar.gz) Ubuntu 14.04 使用代理。

谢谢

0 投票
0 回答
529 浏览

visualization - 如何在 Bro 网络安全监视器中可视化数据

我在我的 Linux 系统上配置了Bro Network Security Monitor。在日志目录中,不同的日志由 Bro 维护。在每个文件中,数据都是 tsv 格式。我必须可视化这些数据以便更好地使用和监控。我认为 Bro 没有提供任何内置的可视化工具。有没有可以用于此目的的工具?


12345678910