ZEEK(bro) 基础实践二

最新推荐文章于 2024-07-09 09:17:22 发布
最新推荐文章于 2024-07-09 09:17:22 发布
阅读量1.2k 收藏
点赞数
分类专栏: 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lepton126/article/details/104893073
版权
运维 同时被 2 个专栏收录
206 篇文章 2 订阅
订阅专栏
安全
41 篇文章 5 订阅
订阅专栏

以用户zeek 运行

/opt/zeek/bin/zeek -r test.pcap -C ja3.zeek file_extraction.zeek

其中 ja3.zeek 和 file_extraction.zeek 可从 github 上下载

ja3 用于提取ssl/tls 指纹 

file_extraction.zeek 用于从http中解压gzip 

lepton126
关注
专栏目录
zeek(bro) 脚本学习 一
lepton126的专栏
10-18 2363
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...
zeek安装
Mr.蚂蚁的博客
07-22 4050
概述 这学期信息安全给了一个大作业,我们小组选了隐匿信道识别,从0基础开始。跟着本文章,你将避开我遇到过的所有坑和bug,同时更省事省力地实践隐匿信道的识别。 项目全文如下: 隐蔽信道识别 僵尸网络、木马、间谍软件等常常通过隐蔽信道进行秘密通信、传递敏感信息,本项目主要针对基于TCP/IP储存型隐蔽信道识别、检测,要求: 问题1:检测识别基于TCP/IP协议头部常用字段(如IP ID、TCP ISN)隐蔽信道; 问题2:支持对TCP/IP头部保留字段、未用字段和填充字段(IP头部如DF、TOS字段;TCP
bro-http2:ZeekBro插件,提供http2解码器分析器
05-18
Zeek HTTP2分析器插件 该插件为 3.0.x和3.1.x提供了HTTP2( )解码器/分析器。 如果您对于ZeekBro)的较早实例(即2.6.x或更旧的版本)需要此功能,请参阅此插件的最新0.4.x版本。 公开的事件试图模仿本机HTTP分析器公开的事件 安装 要求 Nghttp2 需要Nghttp2 1.11.0或更高版本。 该插件使用解压缩库,并且该版本之前不支持所用API的某些部分。 nghttp2 Library - https://github.com/nghttp2/nghttp2 在CentOS 7上: # sudo yum install libnghttp2-devel 在Ubuntu 16.04上: Ubuntu的apt储存库上的libnghttp-dev版本太旧(编写本文时为1.7.1版),因此您必须从手动安装该库。 布罗特利 Brotli是
ZEEKbro基础实践
lepton126的专栏
04-03 1233
处理指定行或以下几行的shell脚本 awk '/^[a-z]$/{print NR}' file.txt > line.txt NUM=`cat line.txt | wc -l` a=$[NUM-1] for i in `seq $a` do NR=`sed -n "${i}p" line.txt` NR2=`sed -n "$[i+1]p" line.txt` ...
网络安全从业人员必知的Zeek工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-09 1615
Zeek是一种开放源码的网络分析框架,最初由Vern Paxson于1995年开发。它能够高效地解析网络流量,提取丰富的上下文信息,并生成详细的日志文件供后续分析使用。Zeek不仅仅是一个入侵检测系统(IDS),它更像是一个平台,允许用户编写脚本来扩展其功能,从而适应不同的安全需求。
zeek(bro) 脚本学习
lepton126的专栏
10-31 924
load 语句,缺省路径 : <prefix>/share/bro <prefix>/share/bro/policy <prefix>/share/bro/site 在bro version 2.6.3 版本中,缺省路径为 <prefix>/share/bro/policy [root@clusternode zeekbro-code]#...
zeek(bro) 脚本学习 三
lepton126的专栏
02-20 2489
参考https://blog.csdn.net/roshy/article/details/88827716 zeek(bro)读取pcap包后,缺省状态输出数个log文件,主要分以下几个类别: 诊断日志:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log 会话日志:conn.log 告警信息:weird.log ...
bro-3.10.zip
02-26
2. **BroZeek)的工作原理** - **数据捕获:** Bro通过网络接口捕获原始数据包,然后根据IP协议栈进行拆包处理。 - **协议解析:** 解析出的每个包都会触发相应的协议解析器,这些解析器负责将包转换为Bro理解的...
学习使用Zeek进行网络入侵检测
Zeek(前身为Bro)是一款开源的网络安全监控工具,用于实时分析网络流量并检测潜在的网络入侵行为。它可以 passively 监控网络流量,并生成相应的日志用于后续分析。 Zeek 能够对网络中的流量进行深度解析,提取出...
模块三:任务2 入侵检测技术与应用实践项目
12-03
Base是Bro IDS(现在称为Zeek)的网络事件浏览器,但它也可以与Snort配合使用。Base提供了一个友好的图形用户界面,用于查看、搜索和分析由Snort生成的日志文件。通过Base,我们可以更直观地理解哪些活动被标记为...
Parrot OS网络流量分析与取证:使用tcpdump和Zeek
# 1. Parrot OS简介 ## 1.1 Parrot OS概述 ...它提供了一个全面的软件包集合,包括用于渗透测试、安全研究、计算机取证和反向工程的工具。Parrot OS还内置了一系列网络流量分析和取证工具,使其成为网络安全领域的...
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用
spicy-analyzers:越来越多的基于Spicy的Zeek协议和文件分析器集合
03-16
基于辣的Zeek分析仪 该存储库提供了一个软件包,该软件包安装了一组通过实现的协议和文件分析器。 当前,包括以下分析器: DHCP [1] DNS [1] HTTP [1] PNG 便携式可执行(PE) [2] TFTP 线卫 我们正在努力扩大这一范围。 如果您要编写的Spicy分析仪包含在此处,请提出拉取请求。 [1]替换了相应的Zeek分析器[2]替换并扩展了相应的Zeek分析器 先决条件 除了Zeek,您首先需要安装Spicy。 请按照。 确保Spicy工具链位于PATH 。 例如,将其安装到/opt/spicy并使用bash : export PATH=/opt/spicy/bin:$PATH 现在, which应该能够找到spicy-config : # which spicy-config /opt/spicy/bin/spicy-config 还请 Ze
zlogging:适用于Python的BroZeek日志记录框架
03-08
ZLogging-适用于Python的Bro / Zeek日志记录框架 在线文档位于 ZLogging模块在著名的Bro / Zeek网络安全监视器(IDS)的日志记录框架之间提供了易于使用的桥梁。 从3.0版开始, Bro项目已正式重命名为Zeek 。 它最初是从项目开发而来的,该项目是一个基于Bro / Zeek IDS的APT检测框架,并使用高度自定义和可自定义的Python包装器进行了扩展。 安装 笔记 ZLogging支持以上所有版本的Python,包括3.6 pip install zlogging 用法 目前, ZLogging支持Bro / Zeek日志记录框架支持的两种内置格式,即ASCII和JSON。 典型的ASCII日志文件如下所示: #separator \x09 #set_separator , #empty_field (em
Malcolm:Malcolm是功能强大且易于部署的网络流量分析工具套件,用于完整的数据包捕获工件(PCAP文件)和Zeek日志
04-29
马尔科姆 是功能强大的网络流量分析工具套件,旨在满足以下目标: 易于使用– Malcolm接受完整数据包捕获(PCAP)文件和Zeek(以前称为Bro日志的形式的网络流量数据。 这些工件可以通过基于浏览器的简单界面上传,也可以实时捕获并使用轻量级转发器转发到Malcolm。 在这两种情况下,数据都将自动归一化,丰富化和关联以进行分析。 强大的流量分析–通过两个直观的界面提供对网络通信的可见性:Kibana,一个灵活的数据可视化插件,带有数十个预先构建的仪表板,可概览网络协议; Arkime(以前称为Moloch),一种功能强大的工具,用于查找和识别包括可疑安全事件在内的网络会话。 简化的部署– Malcolm作为Docker容器的群集运行,这些隔离的沙箱分别充当系统的专用功能。 这种基于Docker的部署模型,结合一些用于设置和运行时管理的简单脚本,使得Malcolm适合在各种平
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
Zeek分析
zz2230633069的博客
02-25 3071
使用zeek直接解析pcap包: zeek -Cr mysql_complete.pcap -e 'redef LogAscii::use_json=T;' 其中-e 'redef LogAscii::use_json=T;'表示将log文件内容以json形式输出
流量分析的瑞士军刀:Zeek
qq_40907977的博客
05-15 1830
介绍 Zeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动,通过 Zeek 的脚本可以实现灵活的分析功能,可是实现多种协议的开相机用的分析。本文主要是将 Zeek 结合被动扫描器的一些实践的介绍,以及 Zeek 部署的踩过的一些坑。 地址 :https://github.com/hardenedlinux/hardenedlinux-zeek-script 安装 Zeek 的安装还是比较简单的,笔者主要是在 Mac 上以及 Linux 上安装。这两个操作
zeek学习(五)—— 会话建立
成长之路
08-14 746
zeek 会话建立
Snort、Suricata、Bro/Zeek、OSSEC 之间有什么区别和特点
04-08
Snort、Suricata、Bro/Zeek、OSSEC 都是网络入侵检测系统(IDS)或安全信息与事件管理系统(SIEM)的一部分。它们的区别和特点如下: 1. Snort:Snort 是最早开源的 IDS 系统之一。它使用规则引擎来检测网络流量中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值