介绍
0x00总览
Zeek是一个被动的开源网络流量分析器。 它是一种网络监视器,可以深入检查连接中所有流量以查找可疑活动的迹象。 但是,通常,Zeek甚至在安全领域之外也支持各种流量分析任务,包括性能测量和帮助进行故障排除。
一个网站从Zeek部署中获得的最直接的好处是大量日志文件。这些日志文件以高级的方式记录了网络的活动。 这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应; 带回复的DNS请求; SSL证书; SMTP会话的关键内容, 以及更多内容。 默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后续处理。 但是,用户还可以从输出格式和后端中进行选择,以直接与例如外部数据库进行交互。
但是,使用Zeek的关键在于认识到,即使该系统自身就有的强大功能,从根本上来说,它还是一个可完全自定义和扩展的流量分析平台:Zeek为用户提供了特定于域的脚本语言编写脚本用于表达任意分析任务的。 从概念上讲,您可以将Zeek视为“特定于域的Python”(或Perl):就像Python一样,该系统具有大量的预构建功能(“标准库”)。您不仅限于 系统附带的功能,但是可以通过编写自己的代码使Zeek以新颖的方式使用。 实际上,Zeek的所有默认分析(包括所有日志记录)都是此类脚本的结果。 没有指定到系统核心中的特定分析。
Zeek在商品硬件上运行,因此提供了昂贵的专有解决方案的低成本替代方案。 尽管价格昂贵,但是Zeek实际上远远超出