zeek文件提取

最新推荐文章于 2024-03-07 22:03:42 发布
最新推荐文章于 2024-03-07 22:03:42 发布
阅读量1.2k 收藏
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49393427/article/details/110119722
版权

说明

文件位置

提取出来的文件默认存储在程序执行当前路径下的extract_files文件夹

文件类型识别

mime_type
常见:

text/plain
image/jpeg
image/png
text/html
application/pdf
application/x-dosexec

HTTP

官方demo:https://docs.zeek.org/en/current/examples/httpmonitor/index.html#inspecting-files

global mime_to_ext: table[string] of string = {
    ["application/x-dosexec"] = "exe",
    ["text/plain"] = "txt",
    ["image/jpeg"] = "jpg",
    ["image/png"] = "png",
    ["text/html"] = "html",
};

event file_sniff(f: fa_file, meta: fa_metadata)
    {
    if ( f$source != "HTTP" )
        return;

    if ( ! meta?$mime_type )
        return;

    if ( meta$mime_type !in mime_to_ext )
        return;

    local fname = fmt("%s-%s.%s", f$source, f$id, mime_to_ext[meta$mime_type]);
    print fmt("Extracting file %s", fname);
    Files::add_analyzer(f, Files::ANALYZER_EXTRACT, [$extract_filename=fname]);
    }

输出:

$ zeek -r zeek.org.pcap file_extraction.zeek
Extracting file HTTP-FiIpIB2hRQSDBOSJRg.html
Extracting file HTTP-FMG4bMmVV64eOsCb.txt
Extracting file HTTP-FnaT2a3UDd093opCB9.txt
Extracting file HTTP-FfQGqj4Fhh3pH7nVQj.txt
Extracting file HTTP-FsvATF146kf1Emc21j.txt
[...]

FTP及SMTP

同时提取FTP文件和SMTP文件

event file_sniff(f: fa_file, meta: fa_metadata){
    if ( f$source == "SMTP" || f$source == "FTP_DATA" ){
        print (f$source);
        local fname = fmt("%s-%s.bin", f$source, f$id);
        print fmt("Extracting file %s", fname);
        Files::add_analyzer(f, Files::ANALYZER_EXTRACT, [$extract_filename=fname]);
    }
}
苏打呀
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Malcolm:Malcolm是功能强大且易于部署的网络流量分析工具套件,用于完整的数据包捕获工件(PCAP文件)和Zeek日志
04-29
马尔科姆 是功能强大的网络流量分析工具套件,旨在满足以下目标: 易于使用– Malcolm接受完整数据包捕获(PCAP)文件Zeek(以前称为Bro)日志的形式的网络流量数据。 这些工件可以通过基于浏览器的简单界面上传,也可以实时捕获并使用轻量级转发器转发到Malcolm。 在这两种情况下,数据都将自动归一化,丰富化和关联以进行分析。 强大的流量分析–通过两个直观的界面提供对网络通信的可见性:Kibana,一个灵活的数据可视化插件,带有数十个预先构建的仪表板,可概览网络协议; Arkime(以前称为Moloch),一种功能强大的工具,用于查找和识别包括可疑安全事件在内的网络会话。 简化的部署– Malcolm作为Docker容器的群集运行,这些隔离的沙箱分别充当系统的专用功能。 这种基于Docker的部署模型,结合一些用于设置和运行时管理的简单脚本,使得Malcolm适合在各种平
bro脚本实例讲解
Leeboy_Wang的专栏
01-25 2665
1、过滤出数据包中的文件global mime_to_ext: table[string] of string = { ["application/x-dosexec"] = "exe", ["text/plain"] = "txt", ["image/jpeg"] = "jpg", ["image/png"] = "png", ["text/html"] = "html", }; e
zeek如何分析pcap
weixin_47288838的博客
03-07 391
3.进入新建的文件夹2,sudo /usr/local/zeek/bin/zeek -C -r ../文件名.pcap或者zeek -C -r ../文件名.pcap,生成的日志文件就会存在当前目录。1.传输pcap,在pcap存在的文件夹下 sudo mv 文件夹名称 移动的位置。2.在zeek下新建你要存放日志的文件夹sudo mkdir 2。
bro/zeek的安装与使用过程
qq_39446651的博客
11-22 4372
该博客主要的目的是将自己最近安装的bro/zeek进行整理,如有不对的地方希望大佬指正。其整理如下: 首先,我的安装环境是虚拟机ubuntu16.4。 bro/zeek的安装方式有两种,一种是利用容器docker进行安装,一种是单独的安装方式。我将首先讲述第一种安装方式。 一、zeek-docker安装方式 1.安装docker,按照网站上的方式进行安装即可。 https://www.cnblogs.com/blog-rui/p/11244023.html 2.获取开源代码 git clone http
流量监控分析工具-ZEEK
single7_的博客
05-01 2328
0x01 About ZEEK 0x01a 什么是zeek Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应,带回复的DNS请求,SSL证书,SMTP会话的关键内容
ZEEK(bro) 基础实践二
lepton126的专栏
03-16 1175
以用户zeek运行 /opt/zeek/bin/zeek -r test.pcap -C ja3.zeek file_extraction.zeek 其中ja3.zeek和file_extraction.zeek可从 github上下载 ja3用于提取ssl/tls指纹 file_extraction.zeek用于从http中解压gzip ...
zat:Zeek分析工具(ZAT):使用Pandas,scikit-learn和Spark处理和分析Zeek网络数据
02-03
Zeek分析工具(ZAT) ZAT Python软件包支持使用Pandas,scikit-learn和Spark处理和分析Zeek数据 安装 $ pip install zat 入门 在Raspberry Pi上安装! 最近的改进 大日志文件的更快/更小熊猫的数据帧: 更好的熊猫数据框到矩阵(ndarray)支持:数据 从Zeek日志到Parquet的可扩展转换: 大大改进了Spark Dataframe类:从 更新/改进的笔记本: 影片介绍 为什么要ZAT? Zeek已经拥有灵活,强大的脚本语言,为什么我应该使用ZAT? 卸载:应该从Zeek卸载运行诸如统计,状态机,机器学习等复杂任务,以便Zeek可以专注于高效处理大量网络流量。 数据分析:我们有大量的支持类,可以帮助从原始Zeek数据过渡到Pandas,scikit-learn和Spark等软件包。 我们还提供了一些示例笔记本,这些笔记本逐步显示了如何从这里到达那里。 分析笔记本 文献资料 关于SuperCowPowers 该公司的成立是为了让其开发人员能够跟随他们对Python的热情,流数据管道并享受数据分析的乐
zeek系列之:流量数据采集流量探针zeek-脚本入门
g5703129的博客
08-11 2824
zeek解析pcap流量文件 解析pcap文件 zeek -C -r /home/1.pcap json格式解析pcap文件到当前目录下 zeek -C -r /home/1.pcap LogAscii::use_json=T 注意:需要zeek运行状态下 zeek脚本 概述 概述扩展名为.zeek 默认目录:share/zeek 放在share/zeek/site的不会在升级时被覆盖或者修改 zeek生成的事件可以参考:base/bif/event.bif.zeek *.bif是z
网络监控:将Zeek日志发送到ELK
热门推荐
点火三周的专栏
12-06 2万+
先决条件 这篇文章标志着“在家中创建企业监视”系列的第二部分,如果您错过了它,这是第一部分。在本文中,我们将研究如何使用Filebeat将Zeek日志发送到ELK Stack。开始之前,请注意以下几点: 我在与Zeek VM分开的自己的VM中运行ELK,但是如果需要,您可以在同一VM上运行它。 ELK在Ubuntu 18.04 VM上运行。 安装Elastic Stack 安装Elastic Stack非常简单,这里不再赘述。大家确保安装好Elasticsearch + Kibana即可,这里
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing ...
Zeek-Intelligence-Feeds:Zeek格式的威胁情报源
02-12
带组合指示灯的Zeek英特尔威胁源 这是基于“公共威胁源”和“关键路径安全”收集的数据的公共源。 此提要将尽可能频繁地更新。 入门 这些说明将使您可以启动并运行项目。 依存关系 ZEEK 3.0或更高 正在安装 安装Zeek...
zeek_3.0.8
02-26
Zeek网络安全监视器 一个的网络流量分析和安全监控框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的...
Zeek
02-18
Zeek
bzar:一组用于检测ATT&CK技术的Zeek脚本
05-02
BZAR是一组Bro / Zeek脚本,利用SMB和DCE-RPC协议分析器以及文件提取框架来检测类似ATT&CK的活动,发出通知并写入通知日志。 BZAR和汽车 BZAR是的组成部分。 它最初位于该库中,但是由于对Zeek软件包的要求,因此...
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 4319
本文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8204
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
C 语言实现 linux pwd 命令内含源码以及说明书可以自己运行复现.zip
最新发布
05-07
C 语言实现 linux pwd 命令内含源码以及说明书可以自己运行复现.zip
zeek 的配置文件
08-12
Zeek 的配置文件通常称为 `zeekctl.cfg`,它用于配置 Zeek 网络安全监测平台的各种参数和选项。此文件主要包含以下内容: 1. Zeek 安装路径:指定 Zeek 的安装目录。 2. 日志路径:指定 Zeek 生成的日志文件的保存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏打呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值