捕獲https流量的元數據我使用以下tcpdum命令捕獲了一些數據。如何使用Bro
tcpdump -i eth1 -w eth1_data.pcap -X
之後,我已經運行以下命令,使用Bro
分析eth1_data.pcap
文件。
bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }"
我使用的是Bro 2.4.1版本。在命令中我沒有改變上面的配置。上面的命令執行後會生成很多文件。現在我必須找到一些社交網站轉移的字節,例如HTTS://www.twitter.com。我沒有在http.log中找到關於上述網站的正確信息。
我知道https站點的內容已加密,但可以提取元數據(因爲app_stats.log也提供了一些信息)。
是否正確,我應該從ssl.log
中挑選UID
,然後從conn.log中找到resp_ip_bytes以相同的uid進行傳輸?
或獲取https網站元數據信息的其他方式?
這意味着我應該繼續從ssl獲取UID並從conn.log獲取resp_bytes以獲得相應的UID 。它會爲我提供https網站的內容正文大小(數據傳輸)嗎? – Shafiq
是的,考慮連接唯一ID(uid)的方式就像數據庫中的外鍵。它旨在通過給每個連接一個唯一的標識符來用於鏈接不同日誌中的記錄。 –
謝謝,現在對我來說很容易分析bro日誌 – Shafiq