zeek脚本编写-检测局域网内的http代理

最新推荐文章于 2022-07-28 12:57:48 发布
最新推荐文章于 2022-07-28 12:57:48 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 信息安全 文章标签: safe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whimewcm/article/details/105800496
版权

根据官网的例子写了个zeek脚本,检测局域网内的http代理服务器(可能被用作恶意行为的跳板。

搭建简陋的http代理

http代理的作用就是转发客户端的http请求的功能,主要用到工具如下:

  • kali主机:ip 192.168.140.131, 预装burpsuite和tcpdump。
  • ubuntu16.04: firefox浏览器。
    首先,Kali主机作为http代理,开启burpsuite监听8080端口,同时开启tcpdump抓包。
    其次,ubuntu主机作为客户端,配置kali主机的ip和端口作为代理,将浏览器的流量转发到Kali主机。
    在这里插入图片描述
    这样就实现了简易的http代理,当然Kali 主机会先拦截http请求。为了方便,只检测开启了http代理的局域网主机。
    如图,kali虚拟机捕捉到get请求中带有http字样,这是http代理的特征。
最低0.47元/天 解锁文章
whime_sakura
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bzar:一组用于检测ATT&CK技术的Zeek脚本
05-02
BZAR(基于Bro / Zeek ATT&CK的分析和报告) 1.简介 BZAR项目使用“ Bro / Zeek网络安全监视器”来检测基于ATT&CK的对抗活动。 是针对网络对手行为的公开提供的精选知识库,反映了对手生命周期的各个阶段以及已知的目标平台。 ATT&CK模型包括众多威胁组的行为。 BZAR是一组Bro / Zeek脚本,利用SMB和DCE-RPC协议分析器以及文件提取框架来检测类似ATT&CK的活动,发出通知并写入通知日志。 BZAR和汽车 BZAR是的组成部分。 它最初位于该库中,但是由于对Zeek软件包的要求,因此将其移至其自己的存储库中。 它仍然作为CAR的组件进行管理。 2.根据您的环境调整BZAR 必须针对您的特定操作环境调整BZAR。 例如,BZAR检测到的某些类似ATT&CK的活动可能是您环境中的授权活动和合法活动。 因此,这些检测将在通知日志中产生许多
bro-http2:ZeekBro插件,提供http2解码器分析器
05-18
Zeek HTTP2分析器插件 该插件为 3.0.x和3.1.x提供了HTTP2( )解码器/分析器。 如果您对于Zeek(Bro)的较早实例(即2.6.x或更旧的版本)需要此功能,请参阅此插件的最新0.4.x版本。 公开的事件试图模仿本机HTTP分析器公开的事件 安装 要求 Nghttp2 需要Nghttp2 1.11.0或更高版本。 该插件使用解压缩库,并且该版本之前不支持所用API的某些部分。 nghttp2 Library - https://github.com/nghttp2/nghttp2 在CentOS 7上: # sudo yum install libnghttp2-devel 在Ubuntu 16.04上: Ubuntu的apt储存库上的libnghttp-dev版本太旧(编写本文时为1.7.1版),因此您必须从手动安装该库。 布罗特利 Brotli是
zeek(bro) 脚本学习 三
lepton126的专栏
02-20 2457
参考https://blog.csdn.net/roshy/article/details/88827716 zeek(bro)读取pcap包后,缺省状态输出数个log文件,主要分以下几个类别: 诊断日志:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log 会话日志:conn.log 告警信息:weird.log ...
zeek脚本语言编写入门
随便记记笔记
11-29 2126
其实大部分都是文档翻译的(也许是全部)
rdfp:Zeek的远程桌面客户端指纹脚本。 基于https:github.com0x4D31fatt
02-04
rdfp:Zeek的远程桌面客户端指纹脚本。 基于https:github.com0x4D31fatt
zeek(bro) 脚本学习 二
lepton126的专栏
10-31 905
load 语句,缺省路径 : <prefix>/share/bro <prefix>/share/bro/policy <prefix>/share/bro/site 在bro version 2.6.3 版本中,缺省路径为 <prefix>/share/bro/policy [root@clusternode zeekbro-code]#...
Zeek-Intelligence-Feeds:Zeek格式的威胁情报源
02-12
带组合指示灯的Zeek英特尔威胁源 这是基于“公共威胁源”和“关键路径安全”收集的数据的公共源。 此提要将尽可能频繁地更新。 入门 这些说明将使您可以启动并运行项目。 依存关系 ZEEK 3.0或更高 正在安装 安装Zeek...
anomalous-dns:一组zeek脚本,提供了用于跟踪和关联异常DNS行为的模块
05-10
一组zeek脚本,提供了一个用于跟踪和关联异常DNS行为的模块。 通过连接持续时间和数量,请求和答案大小,DNS请求类型以及每个域的唯一查询来检测隧道和C&C。 基于A记录和ASN的快速通量网络的统计分类。 要求 ...
基于zeek的网络入侵检测项目源码(课程作业).zip
最新发布
01-16
基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测...
cve-2020-0601:用于检测CVE-2020-0601的Zeek程序包
03-13
CVE-2020-0601的Zeek测试脚本脚本可以检测CVE-2020-0601的利用尝试。 它执行简单的检查以查看证书中是否使用了已知曲线-如果不是这样,则会发出通知。 notice.log中的示例通知: 1579043477.791522CHhAvVGS1...
zeek-sanitize:用于清理Zeek日志的Python脚本
04-01
消毒 用于清理Zeek日志的Python脚本。 用法 sanitize.py <盐值> <字段列表,以逗号分隔> 如: cat conn.log | 切工| python sanitize.py mysalt 2,4 $ gunzip -c /usr/local/zeek/logs/2021-03-31/conn.08\:53\:31-09\:00\:00.log.gz | zeek-cut | python sanitize.py somelongsaltvalue 2,4 1617195206.877965 CV2G122dMtlNo3Rgv3 b530c19c772a39493981420b5100e3f0 61584 06067a84047d2e80fa39d09dd8868671 53 tcp - 0.001868 36 0 SH T T 0 SADF 5 248 0 0
sip-attacks:zeek程序包,用于检测SIP协议中的攻击
02-12
检测SIPG-3700的简单策略:原因SIP网关注册或身份验证失败。 脚本提供以下功能 1) It identifies SIPG-3700 failures in SIP protocol 2) Generates a SIP::SIPG3700 alert/notice 安装 zeek-pkg安装initconf / sip-attacks或@load sip-attacks / scripts 详细说明: 详细警报和描述:脚本生成以下警报: 启发式方法很简单:检查 这将产生以下种类的通知: SIP :: BadUserAgent SIP :: Code_401_403 警报示例: 1515989011.284952-37.8.44.2 14622 131.243.4.100 5060---udp SIP :: Code_401_403 SIP蛮力:401-403禁止-37.8
zat:Zeek分析工具(ZAT):使用Pandas,scikit-learn和Spark处理和分析Zeek网络数据
02-03
Zeek分析工具(ZAT) ZAT Python软件包支持使用Pandas,scikit-learn和Spark处理和分析Zeek数据 安装 $ pip install zat 入门 在Raspberry Pi上安装! 最近的改进 大日志文件的更快/更小熊猫的数据帧: 更好的熊猫数据框到矩阵(ndarray)支持:数据 从Zeek日志到Parquet的可扩展转换: 大大改进了Spark Dataframe类:从 更新/改进的笔记本: 影片介绍 为什么要ZAT? Zeek已经拥有灵活,强大的脚本语言,为什么我应该使用ZAT? 卸载:应该从Zeek卸载运行诸如统计,状态机,机器学习等复杂任务,以便Zeek可以专注于高效处理大量网络流量。 数据分析:我们有大量的支持类,可以帮助从原始Zeek数据过渡到Pandas,scikit-learn和Spark等软件包。 我们还提供了一些示例笔记本,这些笔记本逐步显示了如何从这里到达那里。 分析笔记本 文献资料 关于SuperCowPowers 该公司的成立是为了让其开发人员能够跟随他们对Python的热情,流数据管道并享受数据分析的乐
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
zeek脚本编写-检测匿名代理ip
whime
05-22 774
从网上下载到一个匿名ip范围数据库,编写了zeek脚本用于检测源地址为匿名的连接。 匿名ip范围数据库 数据文件中有多个字段,此处主要用到ip_from,ip_to,proxy_type,ip_from和ip_to不是点分十进制表示,而是对应ip的32位整数表示。 编写脚本 脚本逻辑: 定义ip范围和代理类型的表,之后通过Input::add_table读入数据。从connection中获取源i...
zeek 使用笔记
qq_28808697的博客
09-15 493
https://docs.zeek.org/en/master/scripts/base/frameworks/analyzer/main.zeek.html https://docs.zeek.org/en/master/script-reference/proto-analyzers.html#enum-Analyzer::ANALYZER_ICMP
使用zeekHTTP RPC性能检测
robinfoxnan的专栏
07-28 943
*需求**我的需求是在K8S的云上添加自己的非侵入式采集工具,并检测各种后端的RPC性能,比如http_rpc,grpc,mysql,redis,mongodb,以及自定义的rpc等网络交互过程的性能;**解决方案**直接在zeek现有基础上开发脚本,并开发日志读写工具将结果转存到自己的后端;这样就基本实现了我们的需求,后续的工作只是需要扩展各种协议,以及从日志流提取数据;首先,参考HTTP的相关脚本,记录自己需要的数据,写个hello,world。1)讲解了事件与事件队列的原理。...
zeek之部署安装
zz2230633069的博客
01-19 7477
一、安装依赖 RPM/基于RedHat的Linux(CentOS7是这个版本): sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel DEB/基于Debian的 Linux: sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python
Centos7 zeek安装
07-27
要在CentOS 7上安装Zeek,您可以按照以下步骤进行操作: 1. 更新系统: ``` sudo yum update ``` 2. 安装依赖项: ``` sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel ``` 3. 下载Zeek源代码: ``` wget https://download.zeek.org/zeek-4.0.1.tar.gz ``` 4. 解压缩源代码包: ``` tar -xf zeek-4.0.1.tar.gz cd zeek-4.0.1/ ``` 5. 配置和编译Zeek: ``` ./configure make sudo make install ``` 6. 添加Zeek到系统路径中: ``` echo 'export PATH=/usr/local/zeek/bin:$PATH' >> ~/.bashrc source ~/.bashrc ``` 7. 验证Zeek是否安装成功: ``` zeek --version ``` 如果显示Zeek的版本信息,则表示安装成功。 请注意,上述步骤是基于CentOS 7的安装过程,并且假设您已经具有适当的权限来执行这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值