bro研究学习

最新推荐文章于 2019-10-18 15:29:51 发布
最新推荐文章于 2019-10-18 15:29:51 发布
阅读量3.4k 收藏 1
点赞数
分类专栏: 网络编程 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leeboy_Wang/article/details/50582592
版权

脚本学习

bro的默认脚本/usr/local/bro/share/bro每次更新版本都会被重新覆盖,除了/usr/local/bro/share/bro/site这个文件可以自定义修改,不会被覆盖
其中核心为base和policy
/usr/local/bro/share/bro/base处理收集网络活动基本的有用的状态或提供框架程序扩展功能脚本,程序会自动加载他,带来的代价不高
policy 代价较高,要因地适宜,是否使用要自己判断
PREFIX/share/bro/site/local.bro这个路径是我们写脚本的入口,从这里下手。

bro脚本定义

用&redef 定义变量和常量限定符:const ignored_types: set[Notice::Type] = {} &redef;
但其初始值可以修改通过redef在编译时修改
例如:
module Notice;
export {
    ...
    ## Ignored notice types.
    const ignored_types: set[Notice::Type] = {} &redef;
}

redef Notice::ignored_types += { SSL::Invalid_Server_Cert };

 
bro日志
dpd.log         协议在非标准端口上遇到的摘要
dns.log         所有DNS活动
ftp.log         一个日志的FTP会话级别的活动
files.log       摘要通过网络传输的文件。这些信息是聚合不同的协议,包括HTTP、FTP、SMTP
http.log        总结所有的HTTP请求的回复
known_certs.log  使用SSL证书
smtp.log        SMTP活动的一个总结
ssl.log         SSL会话的记录,包括所使用的证书
weird.log       一个意想不到的协议级活动的日志。只要bro协议分析遇到不符合期望的(如:一个RFC违规)日志会记录在这个文件中。注意,在实践中,现实世界的网络往往表现出大量的“杂质”,通常是不值得跟进。
 
bro命令行方式
bro -i en0 脚本.bro
从抓取的包 mypackets.trace进行分析
tcpdump -i en0 -s 0 -w mypackets.trace
bro -r mypackets.trace
bro -r mypackets.trace  脚本.bro
 
broctl方式
PREFIX/share/bro/site/local.bro这个路径是我们写脚本的入口
1、/usr/local/bro/share/bro/policy路径中新建自己的策略脚本路径:/usr/local/bro/share/bro/policy/mypolicy
2、将自己的脚本cp到该路径
3、在local.bro中添加脚本加载:@load mypolicy/file_extraction
4、在/usr/local/bro/logs/current路径查看脚本执行结果

bro就是一款IDS产品,用于旁路监听还是不错的,我们想做IPS还需要继续探索!
leeboy_wang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
(转载)Bro:一个开放源码的高级NIDS系统
Kendiv's Box
09-12 3579
Bro:一个开放源码的高级NIDS系统创建时间:2003-10-12文章属性:原创文章提交:stardust (stardust_at_xfocus.org)在介绍Bro之前先总结一下几个常见的开放源码NIDS系统:Snort ( http://www.snort.org/ )目前最著名最活跃的开放源码NIDS项目,定位于轻量级的入侵检测系统,已经实现了网络探测器和许多第三方的管理及日志分析工具,
BRO源码概要图(mindmanager打开)
12-30
BRO启动过程做了一个简要的介绍,希望对您有所帮助,需要mindmanager5.2以上版本打开
ubuntu:Bro 网络分析框架
我的学习笔记
02-28 1449
参考文章:https://mp.weixin.qq.com/s?__biz=MjM5NjQ4MjYwMQ==&mid=2664609207&idx=3&sn=4a0331832b280f2f58644030a8771abe&chksm=bdce8ef18ab907e7c8b2cc6687ec69521cb196de9008...
bro框架--统计数据
Kagamigawa Noelle
12-12 535
原文地址: https://www.bro.org/sphinx/frameworks/sumstats.html 概述(overview) Sumstat处理流程可以分为三个部分。观察(Observations),观察事件的某些方面并将(观察所得信息)回馈给Sumstats框架。缩减(Reducers),在此处会收集观察所得信息并对度量这些信息(一般是通过获取统计数据,比如平均值、方差)。统...
bro脚本实例讲解
Leeboy_Wang的专栏
01-25 2676
1、过滤出数据包中的文件global mime_to_ext: table[string] of string = { ["application/x-dosexec"] = "exe", ["text/plain"] = "txt", ["image/jpeg"] = "jpg", ["image/png"] = "png", ["text/html"] = "html", }; e
upload (3)_bro_BROalgorithm_
09-29
【标题】"upload (3)_bro_BROalgorithm_" 指涉的是一个关于BRO优化算法的项目或研究BRO算法,全称可能是“基于规则的优化算法”(Rule-based Optimization Algorithm)或者有其他含义,是计算机科学领域中用于解决...
基于bro框架的cms学习
11-26
通过研究和实践BroCMS,开发者可以深入理解网站后台管理、用户权限控制、模板引擎以及数据处理等核心概念。 【标签】: 1. CMS学习型:BroCMS被设计成一个学习工具,让开发者了解并掌握CMS的基本架构和工作原理,...
bro软件包:Bro软件包。 可能不稳定。 我在这里放过
02-07
随着时间的发展,它已演变成一个全面的网络分析平台,广泛应用于网络安全研究、企业安全运营以及大型网络的监控。Bro的核心特性包括事件驱动的编程模型、灵活的脚本语言以及丰富的网络协议解析能力。 在使用Bro...
bro_scripts:我的一些 BRO IDS 兄弟脚本
07-06
学习研究这些脚本,不仅可以帮助我们了解如何利用BRO/Zeek进行更精细化的安全监控,还可以为我们提供编写自定义安全脚本的参考,以应对日益复杂多变的网络安全挑战。对于网络安全从业者来说,这是一个宝贵的资源库...
flutterbrocli:Flutter Bro命令行工具
03-14
深入理解Flutter Bro的源码,对于学习Dart语言、Flutter开发以及命令行工具设计都有很大的帮助。你可以通过阅读源码了解如何使用Dart实现命令行接口,如何处理命令行参数,以及如何调用Flutter SDK提供的API进行项目...
Security Onion:IDS/NSM、Snort、Suricata、Bro、Sguil、Squert、ELSA、Xplico-开源
05-30
Security Onion 是用于 IDS(入侵检测)和 NSM(网络安全监控)的 Linux 发行版。 它基于 Ubuntu,包含 Snort、Suricata、Bro、Sguil、Squet、ELSA、Xplico、NetworkMiner 和许多其他安全工具。 易于使用的设置向导可让您在几分钟内为您的企业构建大量分布式传感器!
Bro脚本语法5-指令(Directives)
mhpmii的专栏
10-26 1608
Bro脚本语法5-指令(Directives)@(教程)[Bro]Bro 脚本语言指令的概念有点类似于C语言中的宏,他会在脚本执行之前对脚本进行处理,比如哪些脚本会被加载,脚本中的哪几行会被执行等等,哪些指令展开后得到特定的字符串等等@DEBUG TODO@DIR 当前脚本的路径 Example:print "Directory:", @DIR;@FILENAME 文件名或当前的脚本Examp
【开源】bro学习整理记录
roshy的专栏
03-26 6467
一、功能概述 BRO 是一个开源功能强大的流量分析工具,主要用于协议解析、异常检测,行为分析等,bro还为用户提供了事件驱动的bro脚本语言。 协议解析 站点部署BRO所能获得的最直接好处就是获得日志文件的扩展集,这些文件在高层次记录网络的行为。这些日志文件不仅全方位记录了所有线路上可见的每个连接,还记录了应用层传输,例如HTTP会话以及请求的URL、关键头、MIME类型、服务器反馈,DNS请...
Bro 快速入门
mhpmii的专栏
10-26 9049
Bro 快速入门@(教程)[Bro]写在前面 Bro 通过源码安装之后默认安装路径是 /usr/local/bro 通过源码安装可以通过make doc 命令生成完整的文档 1. 需要python 2.5 以上版本 2. 需要安装 Sphinx (sudo easy_install Sphinx ) 3. 需要安装 Doxygen(sud apt
bro脚本语法1-操作符
mhpmii的专栏
10-26 2499
bro脚本语法1-操作符@(教程)[Bro]理解Bro脚本 Bro包含一个事件驱动型的脚本语言,主要是为了提供和扩展bro的功能 Bro脚本有效的通知bro我们定义的事件(event),然后让我们知道有关于连接的信息,以便我们可以在其上执行某些功能 比如 ssl.log 文件通过bro脚本创建,当某个证书链是无效的遍历整个证书链和问题通知,整个过程告诉bro应该监视服务器和客户端的 SSL_H
Bro浅析
weixin_33670713的博客
07-03 2292
Bro 目录 Bro简介Bro特点Bro基本架构Bro内部架构Dynamic Protocol Detection(DPD)Bro集群部署Bro脚本Bro日志记录Bro http日志中记录额外字段提升Bro抓包性能Bro从一台机器的多个网卡同时抓取流量实际使用中解决的问题安装部署参考 Bro简介 Bro是一款被动的开源流量分析器。它主要用于对链路上所有深层次的可疑行为流量进行一个安全监控,其支持在...
Bro脚本语法4-声明和语句(Declarations and Statements)
mhpmii的专栏
10-26 2684
Bro脚本语法4-声明和语句(Declarations and Statements)@(教程)[Bro]Declarations Name Description module 改变当前模块 export 从当前模块导出定义 global 声明一个全局变量 const 声明一个全局常量 type 声明一个一用户自定义类型 redef 重新定义一
zeek(bro) 脚本学习
lepton126的专栏
10-18 2334
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...
使用bro脚本记录网络中的ftp流量
Kagamigawa Noelle
12-12 1156
最近才注意到bro更名为zeek了,官网上有说明,貌似是因为bro有不太好的含义。 bro官网上提供了一个探测ftp暴力破解进行登录的例子。该例子中把所有突破阈值的可疑主机记录了下来(这些主机多次尝试登录某个ftp服务器,很不幸,它们登录失败了很多次,被改脚本记录为可疑的主机并通过NOTICE框架写到了notice.log中)。 下面是我尝试用bro写的一个简单的例子,有对logging,su...
windows安装bro
最新发布
09-14
要在Windows上安装Bro,可以按照以下步骤进行操作: 1. 首先,访问Bro的官方网站(https://www.bro.org/)并下载最新版本的Bro安装包。 2. 解压下载的安装包到您选择的目录。可以使用文件压缩软件(例如7-Zip)来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值