zeek脚本编写-检测匿名代理ip

最新推荐文章于 2023-04-28 14:18:27 发布
最新推荐文章于 2023-04-28 14:18:27 发布
阅读量768 收藏
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whimewcm/article/details/105851766
版权

从网上下载到一个匿名ip范围数据库,编写了zeek脚本用于检测源地址为匿名的连接。

匿名ip范围数据库

数据概览
数据文件中有多个字段,此处主要用到ip_from,ip_to,proxy_type,ip_from和ip_to不是点分十进制表示,而是对应ip的32位整数表示。

编写脚本

脚本逻辑: 定义ip范围和代理类型的表,之后通过Input::add_table读入数据。从connection中获取源ip地址提取转化为32位的count类型(无符号整型),通过遍历查找表,若ip在对应范围,则输出notice信息。关键脚本如下:
zeek脚本

测试

使用hping3 伪造代理ip地址测试

hping3 -p 22 -S -a 109.68.150.121 192.168.140.136

在notice.log 查看到相关信息
notice信息

whime_sakura
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zeek(bro) 脚本学习 一
lepton126的专栏
10-18 2329
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...
zeek脚本编写-检测局域网内的http代理
whime
05-22 1154
根据官网的例子写了个zeek脚本检测局域网内的http代理服务器(可能被用作恶意行为的跳板。 搭建简陋的http代理 http代理的作用就是转发客户端的http请求的功能,主要用到工具如下: kali主机:ip 192.168.140.131, 预装burpsuite和tcpdump。 ubuntu16.04: firefox浏览器。 首先,Kali主机作为http代理,开启burpsuite...
bzar:一组用于检测ATT&CK技术的Zeek脚本
05-02
BZAR(基于Bro / Zeek ATT&CK的分析和报告) 1.简介 BZAR项目使用“ Bro / Zeek网络安全监视器”来检测基于ATT&CK的对抗活动。 是针对网络对手行为的公开提供的精选知识库,反映了对手生命周期的各个阶段以及已知的目标平台。 ATT&CK模型包括众多威胁组的行为。 BZAR是一组Bro / Zeek脚本,利用SMB和DCE-RPC协议分析器以及文件提取框架来检测类似ATT&CK的活动,发出通知并写入通知日志。 BZAR和汽车 BZAR是的组成部分。 它最初位于该库中,但是由于对Zeek软件包的要求,因此将其移至其自己的存储库中。 它仍然作为CAR的组件进行管理。 2.根据您的环境调整BZAR 必须针对您的特定操作环境调整BZAR。 例如,BZAR检测到的某些类似ATT&CK的活动可能是您环境中的授权活动和合法活动。 因此,这些检测将在通知日志中产生许多
zeek(bro) 脚本学习 三
lepton126的专栏
02-20 2451
参考https://blog.csdn.net/roshy/article/details/88827716 zeek(bro)读取pcap包后,缺省状态输出数个log文件,主要分以下几个类别: 诊断日志:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log 会话日志:conn.log 告警信息:weird.log ...
anomalous-dns:一组zeek脚本,提供了用于跟踪和关联异常DNS行为的模块
05-10
异常DNS 一组zeek脚本,提供了一个用于跟踪和关联异常DNS行为的模块。 通过连接持续时间和数量,请求和答案大小,DNS请求类型以及每个域的唯一查询来检测隧道和C&C。 基于A记录和ASN的快速通量网络的统计分类。 要求 domain-tld: : (与软件包自动安装) 安装 zkg install jbaggs/anomalous-dns 文献资料 当前文档由内联注释组成。
Zeek-Intelligence-Feeds:Zeek格式的威胁情报源
02-12
带组合指示灯的Zeek英特尔威胁源 这是基于“公共威胁源”和“关键路径安全”收集的数据的公共源。 此提要将尽可能频繁地更新。 入门 这些说明将使您可以启动并运行项目。 依存关系 ZEEK 3.0或更高 正在安装 安装Zeek...
cve-2020-0601:用于检测CVE-2020-0601的Zeek程序包
03-13
CVE-2020-0601的Zeek测试脚本脚本可以检测CVE-2020-0601的利用尝试。 它执行简单的检查以查看证书中是否使用了已知曲线-如果不是这样,则会发出通知。 notice.log中的示例通知: 1579043477.791522CHhAvVGS1...
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的...
zeek脚本语言编写入门
随便记记笔记
11-29 2121
其实大部分都是文档翻译的(也许是全部)
sip-attacks:zeek程序包,用于检测SIP协议中的攻击
02-12
检测SIPG-3700的简单策略:原因SIP网关注册或身份验证失败。 脚本提供以下功能 1) It identifies SIPG-3700 failures in SIP protocol 2) Generates a SIP::SIPG3700 alert/notice 安装 zeek-pkg安装initconf / sip-attacks或@load sip-attacks / scripts 详细说明: 详细警报和描述:脚本生成以下警报: 启发式方法很简单:检查 这将产生以下种类的通知: SIP :: BadUserAgent SIP :: Code_401_403 警报示例: 1515989011.284952-37.8.44.2 14622 131.243.4.100 5060---udp SIP :: Code_401_403 SIP蛮力:401-403禁止-37.8
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
自定义bro http日志
04-29
脚本可以在bro http log中记录如下信息: http request header name 和 value http response header name 和 value request body response body response time 使用流程: 1,Bro采用编译安装,目前测试过Bro2.4和Bro2.5 2,安装自定义脚本 # mv http-custom /usr/local/bro/share/bro/base/protocols 3,修改配置文件 echo '@load base/protocols/http-custom' >> /usr/local/bro/share/bro/site/local.bro 4,Bro重新加载脚本 /usr/local/bro/bin/broctl deploy
zeek语法
zz2230633069的博客
02-07 4383
zeek语法全教程,详细讲解附带例子
Zeek--Suricata--ELK
woainiainiaini的博客
04-28 1992
** Zeek–Suricata–ELK ** 一、介绍 ​ Zeek是一个被动的开源网络流量分析器,许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应。带回复的DNS请求;SSL证书;SMTP会话的关键
Zeek分析
zz2230633069的博客
02-25 2970
使用zeek直接解析pcap包: zeek -Cr mysql_complete.pcap -e 'redef LogAscii::use_json=T;' 其中-e 'redef LogAscii::use_json=T;'表示将log文件内容以json形式输出。
zeek之部署安装
zz2230633069的博客
01-19 7368
一、安装依赖 RPM/基于RedHat的Linux(CentOS7是这个版本): sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel DEB/基于Debian的 Linux: sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python
sh脚本提取代理ip并验证_用PHP构建旋转IP和用户代理Web脚本
weixin_26737625的博客
08-22 406
sh脚本提取代理ip并验证 旋转用户代理 (Rotating User-Agent) “The User-Agent request header is a characteristic string that lets servers and network peers identify the application, operating system, vendor, and/or vers...
如何判断代理ip匿名程度
wq10_12的博客
04-28 439
正常情况下,使用代理ip只有两种情况,那就是可以使用和不可以使用,那如果我们再细致一点,需要清楚代理ip匿名程度该怎么办呢?普通代理:普通代理访问目标网站,不会暴露的的真实ip,但是目标网站服务器还是知道我们使用了代理。高匿代理:高匿代理是真正的可以隐藏我们的真实ip,同时不会被目标网站服务器发现我们使用了代理ip。透明代理:使用透明代理去访问网站,该网站服务器还是可以发现我们的真实ip。我们都知道代理ip匿名程度可以分为三种:透明代理、普通代理还有高匿代理
zeek简述(一)
zz2230633069的博客
01-13 9282
概述 Zeek是一个开源的、被动网络流量分析软件。它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。但更普遍地,Zeek支持大量安全领域外的流量分析任务,包括性能测量和帮助排查问题。 Zeek并不是传统意义上的基于特征的入侵检测系统(IDS)。 许多地方部署Zeek是为了保护它们的网络基础设施。Zeek主要关注于高速率、大流量的网络监测。 Zeek的管理框架——ZeekControl——支持开箱即用的集群配置。 图灵机:是图灵在论文中提出的数学模型。论文描述了它是什么,并且证
Centos7 zeek安装
最新发布
07-27
tar -xf zeek-4.0.1.tar.gz cd zeek-4.0.1/ ``` 5. 配置和编译Zeek: ``` ./configure make sudo make install ``` 6. 添加Zeek到系统路径中: ``` echo 'export PATH=/usr/local/zeek/bin:$PATH' >> ~/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值