2024年最全zeek学习(五)—— 会话建立_zeek教程(1),2024年最新Golang零基础入门

最新推荐文章于 2024-07-09 09:17:22 发布
最新推荐文章于 2024-07-09 09:17:22 发布
阅读量393 收藏 4
点赞数 10
分类专栏: 程序员 文章标签: go 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84904355/article/details/138711497
版权

img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以戳这里获取

  1. 生成ConnTuple即key
  2. 查找key
  3. 找不到key,新建一个连接,并插入到管理器中
  4. 找到key,检测连接是否断开,断开重组并重新建立
bool IPBasedAnalyzer::AnalyzePacket(size_t len, const uint8\_t\* data, Packet\* pkt)
{
	// 建立key
	ConnTuple tuple;
	if ( ! BuildConnTuple(len, data, pkt, tuple) )
		return false;

	const std::shared_ptr<IP_Hdr>& ip_hdr = pkt->ip_hdr;
	detail::ConnKey key(tuple);

	Connection\* conn = session_mgr->FindConnection(key);

	if ( ! conn )
	{
		// 连接不存在,建立连接
		conn = NewConn(&tuple, key, pkt);
		// 插入到管理器中即添加到map中
		if ( conn )
			session_mgr->Insert(conn, false);
	}
	else
	{
		// 判断
		if ( conn->IsReuse(run_state::processing_start_time, ip_hdr->Payload()) )
		{
			conn->Event(connection_reused, nullptr);

			session_mgr->Remove(conn);
			conn = NewConn(&tuple, key, pkt);
			if ( conn )
				session_mgr->Insert(conn, false);
		}
		else
		{
			conn->CheckEncapsulation(pkt->encap);
		}
	}

	if ( ! conn )
		return false;

	// If we successfuly made a connection for this packet that means it'll eventually
	// get logged, which means we can mark this packet as having been processed.
	pkt->processed = true;

	bool is_orig = (tuple.src_addr == conn->OrigAddr()) && (tuple.src_port == conn->OrigPort());
	pkt->is_orig = is_orig;
	// IPV6的
	conn->CheckFlowLabel(is_orig, ip_hdr->FlowLabel());

	zeek::ValPtr pkt_hdr_val;
	// IPV6的
	if ( ipv6_ext_headers && ip_hdr->NumHeaders() > 1 )
	{
		pkt_hdr_val = ip_hdr->ToPktHdrVal();
		conn->EnqueueEvent(ipv6_ext_headers, nullptr, conn->GetVal(), pkt_hdr_val);
	}
	// 事件回调
	if ( new_packet )
		conn->EnqueueEvent(new_packet, nullptr, conn->GetVal(),
		                   pkt_hdr_val ? std::move(pkt_hdr_val) : ip_hdr->ToPktHdrVal());

	conn->SetRecordPackets(true);
	conn->SetRecordContents(true);

	const u_char\* payload = pkt->ip_hdr->Payload();

	run_state::current_timestamp = run_state::processing_start_time;
	run_state::current_pkt = pkt;

	// TODO: Does this actually mean anything?
	if ( conn->GetSessionAdapter()->Skipping() )
		return true;
	// 分离到响应的子类处理
	DeliverPacket(conn, run_state::processing_start_time, is_orig, len, pkt);

	run_state::current_timestamp = 0;
	run_state::current_pkt = nullptr;


	// 重组包,不进行dump
	if ( pkt->ip_hdr->Reassembled() )
		pkt->dump_packet = false;
	else if ( conn->RecordPackets() )
	{
		pkt->dump_packet = true;

		// If we don't want the content, set the dump size to include just
		// the header.
		if ( ! conn->RecordContents() )
			pkt->dump_size = payload - pkt->data;
	}

	return true;
}

BuildConnTuple

UDP

bool UDPAnalyzer::BuildConnTuple(size_t len, const uint8\_t\* data, Packet\* packet, ConnTuple& tuple)
{
    uint32\_t min_hdr_len = sizeof(struct udphdr);
    if ( ! CheckHeaderTrunc(min_hdr_len, len, packet) )
        return false;
    
    tuple.src_addr = packet->ip_hdr->SrcAddr();
    tuple.dst_addr = packet->ip_hdr->DstAddr();
    
    const struct udphdr\* up = (const struct udphdr\*)packet->ip_hdr->Payload();
    tuple.src_port = up->uh_sport;
    tuple.dst_port = up->uh_dport;
    tuple.is_one_way = false;
    tuple.proto = TRANSPORT_UDP;
    
    return true;
	}

TCP

bool TCPAnalyzer::BuildConnTuple(size_t len, const uint8\_t\* data, Packet\* packet, ConnTuple& tuple)
{
    uint32\_t min_hdr_len = sizeof(struct tcphdr);
    if ( ! CheckHeaderTrunc(min_hdr_len, len, packet) )
        return false;
    
    tuple.src_addr = packet->ip_hdr->SrcAddr();
    tuple.dst_addr = packet->ip_hdr->DstAddr();
    
    data = packet->ip_hdr->Payload();
    
    const struct tcphdr\* tp = (const struct tcphdr\*)data;
    tuple.src_port = tp->th_sport;
    tuple.dst_port = tp->th_dport;
    tuple.is_one_way = false;
    tuple.proto = TRANSPORT_TCP;
    
    return true;
	}

FindConnection

using SessionMap = std::unordered_map<detail::Key, Session\*, detail::KeyHash>;

Connection\* Manager::FindConnection(const zeek::detail::ConnKey& conn_key)
{
	detail::Key key(&conn_key, sizeof(conn_key), detail::Key::CONNECTION_KEY_TYPE, false);

	auto it = session_map.find(key);
	if ( it != session_map.end() )
		return static\_cast<Connection\*>(it->second);

	return nullptr;
}

NewConn

zeek::Connection\* IPBasedAnalyzer::NewConn(const ConnTuple\* id, const detail::ConnKey& key,
                                           const Packet\* pkt)
{

	int src_h = ntohs(id->src_port);
	int dst_h = ntohs(id->dst_port);
	bool flip = false;
	// 检查是否需要分析此连接,并且检查是否反转服务器/客户端角色
	if ( ! WantConnection(src_h, dst_h, pkt->ip_hdr->Payload(), flip) )
		return nullptr;

	// 构造Connection对象
	Connection\* conn = new Connection(key, run_state::processing_start_time, id,
	                                  pkt->ip_hdr->FlowLabel(), pkt);
	// 设置传输层协议
	conn->SetTransport(transport);

	// 反转服务器/客户端角色
	if ( flip )
		conn->FlipRoles();
	// 构建协议分析器
	BuildSessionAnalyzerTree(conn);

	if ( new_connection )
		conn->Event(new_connection, nullptr);

	return conn;
}
BuildSessionAnalyzerTree
void IPBasedAnalyzer::BuildSessionAnalyzerTree(Connection\* conn)
{
	SessionAdapter\* root = MakeSessionAdapter(conn);
	analyzer::pia::PIA\* pia = MakePIA(conn);

	bool scheduled = analyzer_mgr->ApplyScheduledAnalyzers(conn, false, root);

	// Hmm... Do we want \*just\* the expected analyzer, or all
	// other potential analyzers as well? For now we only take
	// the scheduled ones.
	if ( ! scheduled )
	{ // Let's see if it's a port we know.
		if ( ! analyzers_by_port.empty() && ! zeek::detail::dpd_ignore_ports )
		{
			int resp_port = ntohs(conn->RespPort());
			std::set<zeek::Tag>\* ports = LookupPort(resp_port, false);

			if ( ports )
			{
				for ( const auto& port : \*ports )
				{
					analyzer::Analyzer\* analyzer = analyzer_mgr->InstantiateAnalyzer(port, conn);

					if ( ! analyzer )
						continue;

					root->AddChildAnalyzer(analyzer, false);
					DBG\_ANALYZER\_ARGS(conn, "activated %s analyzer due to port %d",
					                  analyzer_mgr->GetComponentName(port).c\_str(), resp_port);
				}
			}
		}
	}

	root->AddExtraAnalyzers(conn);

	if ( pia )
		root->AddChildAnalyzer(pia->AsAnalyzer());

	conn->SetSessionAdapter(root, pia);
	root->Init();
	root->InitChildren();

	PLUGIN\_HOOK\_VOID(HOOK_SETUP_ANALYZER_TREE, HookSetupAnalyzerTree(conn));
}
MakeSessionAdapter
SessionAdapter\* TCPAnalyzer::MakeSessionAdapter(Connection\* conn)
{
	auto\* root = new TCPSessionAdapter(conn);
	root->SetParent(this);

	conn->EnableStatusUpdateTimer();
	conn->SetInactivityTimeout(zeek::detail::udp_inactivity_timeout);

	return root;
}
ApplyScheduleAnalyzers
bool Manager::ApplyScheduledAnalyzers(Connection\* conn, bool init,
                                      packet_analysis::IP::SessionAdapter\* parent)
{
	if ( ! parent )
		parent = conn->GetSessionAdapter();

	if ( ! parent )
		return false;

	tag_set expected = GetScheduled(conn);

	for ( tag_set::iterator it = expected.begin(); it != expected.end(); ++it )
	{
		Analyzer\* analyzer = analyzer_mgr->InstantiateAnalyzer(\*it, conn);

		if ( ! analyzer )
			continue;

		parent->AddChildAnalyzer(analyzer, init);

		if ( scheduled_analyzer_applied )
			conn->EnqueueEvent(scheduled_analyzer_applied, nullptr, conn->GetVal(), it->AsVal());

		DBG\_ANALYZER\_ARGS(conn, "activated %s analyzer as scheduled",
		                  analyzer_mgr->GetComponentName(\*it).c\_str());
		}

	return expected.size();
	}

Insert

void Manager::Insert(Session\* s, bool remove_existing)
{
	Session\* old = nullptr;
	detail::Key key = s->SessionKey(true);

	if ( remove_existing )
	{
		auto it = session_map.find(key);
		if ( it != session_map.end() )
			old = it->second;

		session_map.erase(key);
	}

	InsertSession(std::move(key), s);

	if ( old && old != s )
	{
		// Some clean-ups similar to those in Remove() (but invisible
		// to the script layer).
		old->CancelTimers();
		old->SetInSessionTable(false);
		Unref(old);
	}
}

Connection

class Session : public Obj
{
public:

Session(double t, EventHandlerPtr timeout_event, EventHandlerPtr status_update_event = nullptr,
double status_update_interval = 0);

virtual ~Session() { }

/\*\*
\* Invoked when the session is about to be removed. Use Ref(this)
\* inside Done to keep the session object around, though it'll
\* no longer be accessible from the SessionManager.
\*/
virtual void Done() = 0;

/\*\*
\* Returns a key for the session. This is used as the key for storing
\* the session in SessionManager.
\*
\* @param copy Flag to indicate that the key returned must have a copy of the
\* key data instead of just a pointer to it.
\*/
virtual detail::Key SessionKey(bool copy) const = 0;

/\*\*
\* Set whether this session is in the session table.
\*/
void SetInSessionTable(bool in_table) { in_session_table = in_table; }

/\*\*
\* Return whether this session is in the session table.
\*/
bool IsInSessionTable() const { return in_session_table; }

double StartTime() const { return start_time; }
void SetStartTime(double t) { start_time = t; }
double LastTime() const { return last_time; }
void SetLastTime(double t) { last_time = t; }

// True if we should record subsequent packets (either headers or
// in their entirety, depending on record\_contents). We still
// record subsequent SYN/FIN/RST, regardless of how this is set.
bool RecordPackets() const { return record_packets; }
void SetRecordPackets(bool do_record) { record_packets = do_record ? 1 : 0; }

// True if we should record full packets for this session,
// false if we should just record headers.
bool RecordContents() const { return record_contents; }
void SetRecordContents(bool do_record) { record_contents = do_record ? 1 : 0; }

// Set whether to record \*current\* packet header/full.
void SetRecordCurrentPacket(bool do_record) { record_current_packet = do_record ? 1 : 0; }
void SetRecordCurrentContent(bool do_record) { record_current_content = do_record ? 1 : 0; }

/\*\*
\* Returns the associated "session" record.
\*/
virtual const RecordValPtr& GetVal() = 0;

[[deprecated("Remove in v5.1. Use GetVal().")]] const RecordValPtr& ConnVal()
{
return GetVal();
}

/\*\*
\* Return the memory allocation required by the session record. This requires at
\* least one call to Get() first in order to setup the record object.
\*/
[[deprecated("Remove in v5.1. MemoryAllocation() is deprecated and will be removed. See "
"GHI-572.")]] virtual unsigned int
MemoryAllocationVal() const = 0;

[[deprecated("Remove in v5.1. Use MemoryAllocationVal().")]] unsigned int
MemoryAllocationConnVal() const
{
#pragma GCC diagnostic push
#pragma GCC diagnostic ignored "-Wdeprecated-declarations"
return MemoryAllocationVal();
#pragma GCC diagnostic pop
}

/\*\*
\* A lower-bound calculation of how much memory a session object is using.
\*/
[[deprecated("Remove in v5.1. MemoryAllocation() is deprecated and will be removed. See "
"GHI-572.")]] virtual unsigned int
MemoryAllocation() const;

/\*\*
\* Generates session removal event(s). Must be overridden by child classes to
\* provide specific removal events.
\*/
virtual void RemovalEvent() = 0;

/\*\*
\* Generate an event for this session.
\*
\* @param f The handler for the event to be generated. If the handler doesn't
\* exist, this method doesn't generate anything.
\* @param analyzer
\* @param name If given, this will be passed as the first argument to the
\* handler, followed by the session value. If null, then the event's first
\* argument is the session value.
\*/
void Event(EventHandlerPtr f, analyzer::Analyzer\* analyzer = nullptr,
const char\* name = nullptr);

/\*\*
\* Enqueues an event associated with this session and given analyzer.
\*/
void EnqueueEvent(EventHandlerPtr f, analyzer::Analyzer\* analyzer, Args args);

/\*\*
\* A version of EnqueueEvent() taking a variable number of arguments.
\*/
template <class... Args>
std::enable_if_t<std::is_convertible_v<std::tuple_element_t<0, std::tuple<Args...>>, ValPtr>>
EnqueueEvent(EventHandlerPtr h, analyzer::Analyzer\* analyzer, Args&&... args)
{
return EnqueueEvent(h, analyzer, zeek::Args{std::forward<Args>(args)...});
}

virtual void Describe(ODesc\* d) const override;

/\*\*
\* Sets the session to expire after a given amount of time.
\*
\* @param lifetime The amount of time in seconds from the current network time.
\*/
void SetLifetime(double lifetime);

/\*\*
\* Sets the inactivity timeout for this session.
\*
\* @param timeout The number of seconds of inactivity allowed for this session
\* before it times out.
\*/
void SetInactivityTimeout(double timeout);

/\*\*
\* Returns the inactivity timeout for the session.
\*/
double InactivityTimeout() const { return inactivity_timeout; }

/\*\*
\* Activates the timer for the status update event.
\*/
void EnableStatusUpdateTimer();

/\*\*
\* Cancels all timers associated with this session.
\*/
void CancelTimers();

/\*\*
\* Called when the lifetime of the session expires. Fires a timeout event and
\* removes the session from the manager.
\* TODO: This function has a terrible name considering there's an AddTimer() and
\* a RemoveTimer() method in this class as well.
\*
\* @param t This argument is ignored.
\*/
void DeleteTimer(double t);

/\*\*
\* Returns a string representation of the transport protocol referenced by the
\* session. This is used by SessionManager for statistics.
\*/
virtual std::string TransportIdentifier() const = 0;

AnalyzerConfirmationState AnalyzerState(const zeek::Tag& tag) const;
void SetAnalyzerState(const zeek::Tag& tag, AnalyzerConfirmationState);

protected:
friend class detail::Timer;

/\*\*
\* Add a given timer to expire at a specific time.
\*
\* @param timer A pointer to a method that will be called when the timer expires.
\* @param t The time when the timer expires. This is an absolute time, not a time
\* relative to the current network time.
\* @param do\_expire If set to true, the timer is also evaluated when Zeek
\* terminates.
\* @param type The type of timer being added.
\*/
void AddTimer(timer_func timer, double t, bool do_expire, zeek::detail::TimerType type);

/\*\*
\* Remove a specific timer from firing.
\*/
void RemoveTimer(zeek::detail::Timer\* t);



![img](https://img-blog.csdnimg.cn/img_convert/4fc44ba20758c198b2823f563361e71d.png)
![img](https://img-blog.csdnimg.cn/img_convert/8da1335e8f53856faa59dcbcffb5189b.png)
![img](https://img-blog.csdnimg.cn/img_convert/70e3ddd7bc611863bc8cb09c80d0332d.png)

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!**

**由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**

**[如果你需要这些资料,可以戳这里获取](https://bbs.csdn.net/topics/618658159)**

param type The type of timer being added.
\*/
void AddTimer(timer_func timer, double t, bool do_expire, zeek::detail::TimerType type);

/\*\*
\* Remove a specific timer from firing.
\*/
void RemoveTimer(zeek::detail::Timer\* t);



[外链图片转存中...(img-4cYi40y8-1715404582455)]
[外链图片转存中...(img-Wne4Hh98-1715404582456)]
[外链图片转存中...(img-Kxp3mUk2-1715404582456)]

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!**

**由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**

**[如果你需要这些资料,可以戳这里获取](https://bbs.csdn.net/topics/618658159)**
2401_84904355
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zeek简述(一)
zz2230633069的博客
01-13 9520
概述 Zeek是一个开源的、被动网络流量分析软件。它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。但更普遍地,Zeek支持大量安全领域外的流量分析任务,包括性能测量和帮助排查问题。 Zeek并不是传统意义上的基于特征的入侵检测系统(IDS)。 许多地方部署Zeek是为了保护它们的网络基础设施。Zeek主要关注于高速率、大流量的网络监测。 Zeek的管理框架——ZeekControl——支持开箱即用的集群配置。 图灵机:是图灵在论文中提出的数学模型。论文描述了它是什么,并且证
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程 Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的Ubuntu计算机,该计算机直接连接到廉价的水龙头,而水龙头则连接到家庭路由器。 如果您没有现有的零件,我已提供了可以购买的产品,但是请随时使用您选择的任何网络接头和/或您选择的任何其他以太网适配器或电缆。 ->单击以阅读有关Medium的文章。 第2课:alert-all-notices.zeek 在本课程中,除了向您发送电子邮件之外,我们还通过记录Zeek认为值得您注意的所有通知来创建notice.log文件,该警报是Zeek值得您注意的。 ->单击以阅读有关Medium的文章。 第3课:conn.log 在本课程中,我们将显示源IP地址和端
网络安全从业人员必知的Zeek工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-09 1048
Zeek是一种开放源码的网络分析框架,最初由Vern Paxson于1995开发。它能够高效地解析网络流量,提取丰富的上下文信息,并生成详细的日志文件供后续分析使用。Zeek不仅仅是一个入侵检测系统(IDS),它更像是一个平台,允许用户编写脚本来扩展其功能,从而适应不同的安全需求。
zeek学习)—— 会话建立
成长之路
08-14 732
zeek 会话建立
会话建立(翻译tr069 3.7.1.1 )
xiaopang_yan的博客
12-14 672
3.7.1.1 会话建立     根据3.2.1章节罗列的条件,CPE会与ACS建立一个会话,一旦连接成功建立,CPE会通过发送一个初始化Inform请求来建立会话。这样会通知ACS CPE当前的状态同时表明CPE 已经准备接受ACS的请求。
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
zeek_anomaly_detector:ZeekBro 中 conn.log 文件的异常检测器。 全自动
05-29
zeek_anomaly_detector zeek / bro的conn.log文件的异常检测器。 它使用 Zeek 分析工具 (ZAT) 加载文件和 pyod 模型。 它是完全自动化的,因此您只需提供文件即可输出异常流。 默认情况下使用PCA模型。依存关系请...
zat:Zeek分析工具(ZAT):使用Pandas,scikit-learn和Spark处理和分析Zeek网络数据
02-03
Zeek分析工具(ZAT) ZAT Python软件包支持使用Pandas,scikit-learn和Spark处理和分析Zeek数据安装$ pip install zat入门在Raspberry Pi上安装!最近的改进大日志文件的更快/更小熊猫的数据帧:更好的熊猫数据框到...
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。...入门查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek教程以及许多其他有用
docker-zeek:Zeek IDS Dockerfile
05-06
网络安全监视器Dockerfile 目录执照 依存关系高山:3.12 图片标签$ docker imagesREPOSITORY TAG SIZEblacktop/zeek latest 41.6MBblacktop/zeek 3.2 41.6MBblacktop/zeek 3.1 39MBblacktop/zeek 3.0 39MBblacktop/...
Zeek安装指南及实验
Coco_T的博客
04-09 3401
zeek-lts from security:zeek project
TCP建立会话的过程
xiaoxiaoxiexies的博客
09-09 1891
这里写目录标题TCP建立会话的过程三次握手第一次第二次第三次TCP断开会话4次挥手第一步第二步第三步第四步TCP确保可靠性的机制IP TCP建立会话的过程 三次握手 第一次 第一次握手:建立连接时,客户端发送syn包(seq=j)到服务器,并进入SYN_SENT状态,等待服务器确认;SYN:同步序列编号(Synchronize Sequence Numbers)。 第二次 第二次握手:服务器收到syn包,必须确认客户端的SYN(ack=j+1),同时自己也发送一个SYN包(seq=k),即SYN+ACK包,
bro/zeek的安装与使用过程
qq_39446651的博客
11-22 4552
该博客主要的目的是将自己最近安装的bro/zeek进行整理,如有不对的地方希望大佬指正。其整理如下: 首先,我的安装环境是虚拟机ubuntu16.4。 bro/zeek的安装方式有两种,一种是利用容器docker进行安装,一种是单独的安装方式。我将首先讲述第一种安装方式。 一、zeek-docker安装方式 1.安装docker,按照网站上的方式进行安装即可。 https://www.cnblogs.com/blog-rui/p/11244023.html 2.获取开源代码 git clone http
Zeek使用手册翻译——介绍部分
weixin_40138844的博客
11-29 3211
介绍0x00总览 Zeek是一个被动的开源网络流量分析器。 它是一种网络监视器,可以深入检查连接中所有流量以查找可疑活动的迹象。 但是,通常,Zeek甚至在安全领域之外也支持各种流量分析任务,包括性能测量和帮助进行故障排除。 一个网站从Zeek部署中获得的最直接的好处是大量日志文件。这些日志文件以高级的方式记录了网络的活动。 这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用层记录,例如...
探索 OSI 会话层:建立和管理通信会话的关键
Von_016's Blog
02-15 1311
它通过建立、管理和终止通信会话,为网络通信提供了可靠和有序的基础,为各种类型的应用程序之间的交互提供了必要的支持。在未来,随着网络技术的不断发展,会话层将继续演化和创新,为网络通信带来更多的可能性和机遇。总的来说,会话层在网络通信中扮演着桥梁和协调者的角色,它通过统一的接口和管理机制,促进了应用程序之间的有效通信,为网络通信的可靠性和安全性提供了保障。这些实际应用体现了会话层在各种网络通信场景中的重要性和价值,它为不同类型的应用程序提供了统一的通信管理和处理机制,为用户和开发者带来了便利和效率。
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 5475
本文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
zeek使用
weixin_47288838的博客
12-11 1123
这种错误在许多系统中会发生,因为存在一个名为“checksum offloading”的功能,但这并不会影响我们的分析。这个命令会显示捕获文件中的每个数据包的详细信息,包括源IP地址、目标IP地址、源端口、目标端口等。通过这些信息,你可以分析网络通信中的各种情况,比如了解哪些主机在通信、它们之间交换的数据包类型以及通信的协议等。它可以显示网络数据包的详细信息,如源IP地址、目标IP地址、端口号、协议类型等,并允许用户在捕获数据包的同时应用一些过滤条件来选择特定的流量进行分析。命令来显示每个日志的内容。
zeek入门
随便记记笔记
11-25 2072
zeek入门 安装及手册 参考:https://software.opensuse.org//download.html?project=security%3Azeek&package=zeek 建议选择添加软件源并手动安装 zeek通过apt(ubuntu软件包管理器)默认安装在/opt/zeek/目录,且不会添加进path,需要手动添加export PATH=$PATH:/opt/zeek/bin/ 手册:https://docs.zeek.org/en/current/ 简介 zeek:完全可
Centos7 zeek安装
07-27
要在CentOS 7上安装Zeek,您可以按照以下步骤进行操作: 1. 更新系统: ``` sudo yum update ``` 2. 安装依赖项: ``` sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值