如何使用Bro

Question

捕獲https流量的元數據我使用以下tcpdum命令捕獲了一些數據。

tcpdump -i eth1 -w eth1_data.pcap -X 

之後，我已經運行以下命令，使用Bro分析eth1_data.pcap文件。

bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }" 

我使用的是Bro 2.4.1版本。在命令中我沒有改變上面的配置。上面的命令執行後會生成很多文件。現在我必須找到一些社交網站轉移的字節，例如HTTS：//www.twitter.com。我沒有在http.log中找到關於上述網站的正確信息。

我知道https站點的內容已加密，但可以提取元數據（因爲app_stats.log也提供了一些信息）。

是否正確，我應該從ssl.log中挑選UID，然後從conn.log中找到resp_ip_bytes以相同的uid進行傳輸？

或獲取https網站元數據信息的其他方式？

Answer 1

這聽起來像你在正確的道路已經。

要記住使用resp_ip_bytes需要注意的一點是，其大小將包括來自每個數據包的IP和TCP標頭。另外，在該號碼中沒有考慮到TCP重組，因此即使沒有發送新數據，分組重傳也會增加數量。如果您正在查找內容正文大小，則應該使用resp_bytes字段，但請記住，這仍將具有所有SSL/TLS成幀和該計數的內容被壓縮。

我想要做的另一個小記錄是我們從0123中刪除了app_stats腳本，因爲缺乏維護和該方法的一般問題。

您是否在尋找特別的東西？