问题标签 [bro]

当有人尝试使用 Bro (v2.4.1) 对我的服务器进行 ssh 暴力攻击时，我无法生成电子邮件通知。我有一个像这样的 Bro 脚本，它将最大登录尝试重新定义为每 24 小时 5 次：

其中 192.168.178.16 是我的服务器的本地 ip，我确保通过将脚本包含在 $PREFIX/site/local.bro 中来加载脚本。的输出broctl scripts显示脚本在启动时加载得很好。但是，我从未收到任何关于 ssh 暴力攻击的电子邮件通知。

连接摘要、丢弃的数据包和无效的 ssl 证书通知都可以通过电子邮件发送，因此这不是电子邮件配置问题。当我像这样检查 ssh 日志输出时：

6 次失败的登录尝试（我为测试而生成的）在 /opt/bro/logs/current/ssh.log 中记录得很好：

但是，我从来没有收到任何关于这种情况的电子邮件通知。我能想到的唯一原因是我禁用了 ssh 密码登录，所以也许没有私钥的登录尝试没有触发 Bro 中的 ssh_failed_login 事件？上表中的 auth_success 列显示失败登录尝试的“-”，而成功登录显示“T”，所以也许应该是“F”才能触发事件？

非常感谢任何帮助或建议！

我创建了一个兄弟脚本，目的是从 pcap 文件中提取所有可能协议的所有文件。但我不想写所有日志。Bro 为每个协议创建一个日志文件。示例：“http.log”、“smtp.log”等。甚至会生成“weird.log”。我的 pcap 文件很大（20gb），所以每个日志文件包含超过 30mb 的信息。此日志生成会降低文件提取的性能。我可以使用该行禁用“conn.log”，Log::disable_stream(Conn::LOG)但是，所有协议日志记录呢？这是我的脚本

我编写了这个兄弟脚本来从 Pcap 文件中提取所有文件。问题是它没有提取所有文件。我有一个使用 Wireshark 分析的 http.cap，然后我将 Http 对象导出为 2 个 .html 文件。我的兄弟脚本仅提取其中一个文件。

我这样称呼我的兄弟脚本：bro -r http.cap myscript.bro. 我使用打印功能调试了 file_sniff 事件，并且只跟踪了 2 个 .html 文件中的 1 个。Bro平台有问题还是我错过了什么？ 这是我的 pcap 文件。

我也尝试使用这个其他 pcap 文件并得到相同的结果。在 Wireshark 中，我得到了一些图像、js 和 http 文件，而 bro 只提取了 2 个图像。

我一直在寻找这个问题的答案，但我已经被困了 2 天。我正在尝试使用以下文件将数据读入 BRO IDS：

输入::add_table([$source=sinkhole_list_location, $name="sinkhole", $idx=Idx, $val=Val, $destination=sinkhole_list2, $mode=Input::REREAD]);

该文件的格式如 Bro 文档所述：

字段 ip ipname 10.10.20.20 hi 8.8.8.8 hey 192.168.1.1 yo

然而，每当我运行这个，或者我的 Bro IDS 上的任何其他脚本时，我总是得到标题不正确。文件应该是什么格式？？？？？？

错误：sinkhole_ip.dat/Input::READER_ASCII：在输入数据文件 sinkhole_ip.dat 中未找到请求的字段 ip。1481713377.164791 错误：sinkhole_ip.dat/Input::READER_ASCII：初始化：无法打开 sinkhole_ip.dat；标题不正确

我可以从命令行与制表符分隔的文件进行比较，例如：bro -i eth1malware_test_ips.bro

但是每当我将相同的脚本安装到站点区域时，都不会进行比较！事实上，它似乎没有读取相同的制表符分隔文件。下面是读取功能。尽管没有显示任何错误或警告，为什么这会在命令行上而不是在 broctl deploy 上工作？是否缺少文件读取设置？

我已经安装了 Bro IDS，但是当我尝试启动服务时出现错误：

我已经使用过broctl install，broctl update但仍然遇到同样的错误。

请帮助

此问题适用于 Linux/Mac；如果将文件解压缩到 Windows 盒子上，我什至认为这些文件不会带有斜杠。

您好，我需要打开流行的 BRO IDS 系统输出的日志文件。这些文件是只读的，我需要在不更改文件名的情况下处理它们的内容。

出于某种原因，Bro 文件名采用以下格式：“conn.19/00/00-22/00/00.log”。（也是 .gz 版本，带有斜杠）我尝试在我的 Mac 上使用默认设置运行最新的 Bro 实例，它生成的日志文件具有相同的正斜杠模式，所以这是其他人做出的有意识的决定，我会必须解决。

在将文件作为 Java 单元测试加载时，通过

File("conn.19/00/00-22/00/00.log")

或通过网址

getClass().getClassLoader().getResource("conn.19/00/00-22/00/00.log")

我得到了正斜杠被解释为不存在目录的预期问题。

**我发现了一堆关于文件名中的斜线的其他被否决的问题，主要是由想要制造此类问题的人提出的。我正在寻找一种在 Java 中处理这些错误文件名的解决方案。

如果我可以将文件数据输入到 InputStream，我会很高兴。

更新 1：这作为更新比作为评论更有效，因为它改变了问题的性质。

我发现在 MacOS 和可能的 Linux 中，Finder GUI 应用程序显示带有正斜杠的文件名，如下所示：

但是在终端中我看到了这个：

最后，File.list() 命令也这样解释它：

所以解决方案是在读取文件时使用冒号'：'字符。原来这是一个兔子洞，可能涉及将'：'编码为“％3a”或双重编码为​​“％253a”。在我的排列中，这些都没有起作用。

请参阅： JDK-7037120：java.net.URI 中的身份违规

访问文件名中带有冒号的存档文件会引发 NullPointerException 或 AssertionError

我已经使用以下 tcpdum 命令捕获了一些数据。

之后，我运行以下命令来eth1_data.pcap使用Bro.

我正在使用 Bro 2.4.1 版本。除了上述命令之外，我没有更改任何配置。执行上述命令后会生成很多文件。现在我必须找到一些社交网站传输的字节，例如 htts://www.twitter.com。我没有在 http.log 中找到有关上述站点的正确信息。

我知道 https 网站的内容是加密的，但可以提取元数据（因为 app_stats.log 也提供了一些信息）。

我应该UID从中挑选ssl.log然后找到从 conn.log 传输的具有相同 uid 的 resp_ip_bytes 是否正确？

或者任何其他方式来获取 https 站点的元数据信息？

我必须使用 bro IDS 分析 pcap 文件。我做了很多工作，但缺少一件事，那就是我如何找到使用的 torrent 状态。bro IDS中是否有一些我必须启用的插件？

我必须使用 bro IDS 分析一些 pcap 文件。它有很多内置的分析器。我必须启用比特洪流分析器。它的细节在这里给出。我如何启用它？