bro

3熱度

1回答

我的目標是運行bro --iface <interface>之類的命令並獲取conn.log，但我無法從Bro文檔或手冊頁中知道如何執行此操作。謝謝。

2熱度

1回答

新手問題在這裏：我安裝了兄弟在一個新的Ubuntu。我運行bro並從該Ubuntu創建http請求。 bro記錄我得到的迴應，但我沒有看到OUTGOING請求的任何日誌。當我發送http請求到安裝在該Ubunu上的apache服務器時，我看到請求到達日誌。我正在監視正確的網卡。 Wireshark確實看到了傳出的流量。我需要做什麼來獲取日誌兄弟2.4.1（從bro.org下載tar.gz

4熱度

2回答

如何寫http層嗅探器

我想寫一個應用層嗅探器（SMTP/ftp/http）。根據我的搜索，首先（也許是最難！）的步驟是重新組裝sniffed連接的tcp流。事實上，我需要的是類似wireshark的「遵循TCP流」選項，但我需要一個工具，它可以在實時界面上自動執行。據我所知，Tshark可以從保存的pcap文件中自動提取TCP流數據（link），但不能從實時接口中提取。 Tshark可以在現場接口上做到嗎？我知道，

2熱度

1回答

提取文件匹配bro簽名

我寫了一個簽名以匹配http responses中的小iframes。這工作正常，我得到在signatures.log和notice.log條目。我想以提取打這個sig任何文件，所以我可以有一個仔細看看，如果我看signature_match事件中，我可以看到在數據變量http內容 - 我應該只是輸出這些數據傳輸到一個文件，或者有一種方法可以使用file_extract功能來正確提取文件。我

2熱度

2回答

Bro IDS - 檢測DDoS攻擊

我需要使用BRO IDS來檢測DDoS攻擊。我從bro.org安裝了bro 2.2，然後我檢查瞭如何做這個分析。有人建議我使用synflood.bro來檢測DDoS攻擊。這是合乎邏輯的。我正在嘗試使用synflood.bro。首先，我無法在bro2.2軟件包中找到它。所以，我下載了它從互聯網上（http://www.filewatcher.com/m/synflood.bro.3792-0.htm

0熱度

1回答

Ldap在Bro的活動IDS

我必須爲兄弟實施dsniff版本作爲我的最後一年項目。因此，我開始編寫bro腳本，在其中使用由Bro實施的協議事件。事情是Bro沒有爲所有的協議實現事件，LDAP是BRO中缺少事件的協議之一。所以我想知道實現這個目標的最好方法是什麼。我的意思是：我是否需要爲這些協議添加解剖器和事件，還是需要使用我錯過的某些功能？（我是兄弟新手）非常感謝您的幫助。

2熱度

1回答

如何使用bro從pcap文件生成software.log？

我試圖從我的PCAP文件生成software.log文件，默認bro -r my.pcap似乎生成一些日誌文件，但不是這個。在谷歌搜索關於添加local到底是應該修復它，但它沒有。

1熱度

2回答

如何分析捕獲的網絡流量？

1熱度

1回答

Bro腳本從IP地址查找主機名

我已經使用Input :: add_table函數編寫了一個bro腳本來查找IP及其相應的主機名並將它們插入到conn_id記錄中 - 以便我擁有id.source_name &每個日誌文件中的id.destination_name。這可以正常工作，除非發生隧道事件，並且會導致分段錯誤導致Bro崩潰。我懷疑這是與封裝ID有關，但我不知道。我知道我可以爲每個類型的Info記錄添加src & dest