Zeek安装与抓包检测

最新推荐文章于 2024-04-08 08:30:10 发布
最新推荐文章于 2024-04-08 08:30:10 发布
阅读量4.2k 收藏 3
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yichengchangan/article/details/124087712
版权

网站下载 zeek

安装

最低只有18.04的,于是只能无奈改用了20.04的虚拟机

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_20.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_20.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek-lts

安装之后还需要添加环境变量

vi ~/.bashrc

末尾添加

PATH=/opt/zeek/bin:$PATH

应用环境变量

source ~/.bashrc

更改/opt/zeek/etc目录下的node.cfg和network.cfg,使对应网卡和网段为虚拟机正在使用的网卡和网段。
输入

zeekctl

即可进入zeek;start启动,diag输出记录。
正在运行时日志记录在./logs/current里,stop后记录在隔壁文件夹下。

实验

安装好之后就可以在 在线网站上编写代码实验啦(确信)
zeek代码比较类似于C++和py(毕竟py也是用C写的嘛),大体上分为一些事件和普通函数
事件主要由各种协议和连接区分

event zeek_init()
event zeek_done()
event http_header(c:connection,is_orig:bool,name:string,value:string)
event http_reply(c: connection, version: string, code: count, reason: string)
event connection_established(c:connection)
···
···

由于zeek主要由事件驱动,所以譬如当有http连接出现时,会自动调用http事件函数进行处理。
其中zeek_init()在start前初始化,zeek_done()在stop前运行。
普通函数的调用和其它语言类似。

本次实验为检测代理,当http连接中检测到的一个ip对应多个user_agent,即可判定这个ip为proxy。
使用的数据结构为

table[addr] of set[string]

最终检测一个addr对应的set大小即可。

这种结构的初始化可以直接写成

local x: table[count] of set[string] =table()

假如有原始数据需要填入的话可以写成

local x: table[count] of set[string] = table([1]=set("one"));

驱动事件使用http_header即可,其中user_agent的位置在connection的http成员中,引用写作c$http$user_agent(感觉这里面的$有种指针的感觉)
具体查看各个成员位置的话可以看 zeek文档,里面每个成员的小标签都可以点开
具体代码可以参考 wtt 的博客

检测

这部分是在windows本机上完成的
写好代码后放到在线网站运行会方便一些,目前我们只需要准备一些http包。
在这个过程中出现了一点点小问题,本机上wireshark抓的包大部分都是https的,没有办法解析,给wirshark密钥什么的又比较麻烦,所以干脆使用Fiddler发了几个http包
在这里插入图片描述
需要多个agent时可以直接更改User-Agent
然后用wireshark抓包,追踪流发现user_agent为Fiddler,没有问题
在这里插入图片描述
开始检测,可以看到正常输出
在这里插入图片描述

hxm001122
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zeek安装
Mr.蚂蚁的博客
07-22 3992
概述 这学期信息安全给了一个大作业,我们小组选了隐匿信道识别,从0基础开始。跟着本文章,你将避开我遇到过的所有坑和bug,同时更省事省力地实践隐匿信道的识别。 项目全文如下: 隐蔽信道识别 僵尸网络、木马、间谍软件等常常通过隐蔽信道进行秘密通信、传递敏感信息,本项目主要针对基于TCP/IP储存型隐蔽信道识别、检测,要求: 问题1:检测识别基于TCP/IP协议头部常用字段(如IP ID、TCP ISN)隐蔽信道; 问题2:支持对TCP/IP头部保留字段、未用字段和填充字段(IP头部如DF、TOS字段;TCP
sip-attacks:zeek程序包,用于检测SIP协议中的攻击
02-12
zeek-pkg安装initconf / sip-attacks或@load sip-attacks / scripts 详细说明: 详细警报和描述:脚本生成以下警报: 启发式方法很简单:检查 这将产生以下种类的通知: SIP :: BadUserAgent SIP :: Code_401_403...
使用bro收集主机的基本信息
Kagamigawa Noelle
12-20 903
目录 收集主机基本信息的日志: 获取ip地址和mac地址的序偶:  获取主机操作系统信息: 获取主机名信息: 获取用户名信息: 调研要求:根据zeek中的事件处理尝试获取主机的用户名、主机名、mac地址、操作系统、IP地址等 zeek就是bro了。这里的用户名还不太清楚是什么意思(可能从telnet着手)。 主机名很好理解,在ubuntu系统中,可以用hostname指令查看主机名...
zeek_3.0.8
02-26
Zeek网络安全监视器 一个的网络流量分析和安全监控框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用的资源。 您可以在找到发行说明,并在中找到所有更改的完整记录。 要使用Zeek开发分支的最新代码,请克隆主git存储库: git clone --recursive https://gith
家庭网络防御系统搭建-家庭网络防御系统搭建-NDR之zeek安装配置过程详解
最新发布
村中少年的专栏
04-08 1053
介绍zeek的源码安装和配置过程,网卡设置以及zeek中的重要文件
ZEEK 安装
rosemary512的专栏
03-02 467
Zeek is a passive, open-source network traffic analyzer. Many operators use Zeek as a network security monitor (NSM) to support investigations of suspicious or malicious activity. Zeek also supports a wide range of traffic analysis tasks beyond the securi.
zeek之部署安装
zz2230633069的博客
01-19 7220
一、安装依赖 RPM/基于RedHat的Linux(CentOS7是这个版本): sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel DEB/基于Debian的 Linux: sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python
Zeek安装、使用与压力测试
qq_40628208的博客
03-08 872
Zeek安装、使用与压力测试
基于zeek的网络入侵检测项目源码(课程作业).zip
01-16
基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测项目源码(课程作业).zip基于zeek的网络入侵检测...
cve-2020-0601:用于检测CVE-2020-0601的Zeek程序包
03-13
CVE-2020-0601的Zeek测试脚本该脚本可以检测CVE-2020-0601的利用尝试。 它执行简单的检查以查看证书中是否使用了已知曲线-如果不是这样,则会发出通知。 notice.log中的示例通知: 1579043477.791522CHhAvVGS1...
bro-2.6.1.tar.gz
09-10
bro,zeek抓包软件,suricata,镜像抓包软件,镜像分析软件
zeek 系列实操实验
08-17
zeek 入侵检测系列实验 Lab 1: Introduction to the Capabilities of Zeek Lab 2: An Overview of Zeek Logs Lab 3: Parsing, Reading and Organizing Zeek Log Files Lab 4: Generating, Capturing and Analyzing Network Scanner Traffic Lab 5: Generating, Capturing and Analyzing DoS and DDoS-centric Network Traffic Lab 6: Introduction to Zeek Scripting Lab 7: Introduction to Zeek Signatures Lab 8: Advanced Zeek Scripting for Anomaly and Malicious Event Detection Lab 9: Profiling and Performance Metrics of Zeek Lab 10: Application of the Zeek IDS for Real-Time Network Protection Lab 11: Preprocessing of Zeek Output Logs for Machine Learning Lab 12: Developing Machine Learning Classifiers for Anomaly Inference and Classification
流量分析抓包工具
11-07
流量分析抓包工具
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用
zat:Zeek分析工具(ZAT):使用Pandas,scikit-learn和Spark处理和分析Zeek网络数据
02-03
Zeek分析工具(ZAT) ZAT Python软件包支持使用Pandas,scikit-learn和Spark处理和分析Zeek数据 安装 $ pip install zat 入门 在Raspberry Pi上安装! 最近的改进 大日志文件的更快/更小熊猫的数据帧: 更好的熊猫数据框到矩阵(ndarray)支持:数据 从Zeek日志到Parquet的可扩展转换: 大大改进了Spark Dataframe类:从 更新/改进的笔记本: 影片介绍 为什么要ZAT? Zeek已经拥有灵活,强大的脚本语言,为什么我应该使用ZAT? 卸载:应该从Zeek卸载运行诸如统计,状态机,机器学习等复杂任务,以便Zeek可以专注于高效处理大量网络流量。 数据分析:我们有大量的支持类,可以帮助从原始Zeek数据过渡到Pandas,scikit-learn和Spark等软件包。 我们还提供了一些示例笔记本,这些笔记本逐步显示了如何从这里到达那里。 分析笔记本 文献资料 关于SuperCowPowers 该公司的成立是为了让其开发人员能够跟随他们对Python的热情,流数据管道并享受数据分析的乐
bzar:一组用于检测ATT&CK技术的Zeek脚本
05-02
BZAR项目使用“ Bro / Zeek网络安全监视器”来检测基于ATT&CK的对抗活动。 是针对网络对手行为的公开提供的精选知识库,反映了对手生命周期的各个阶段以及已知的目标平台。 ATT&CK模型包括众多威胁组的行为。 ...
Zeek安装指南及实验
Coco_T的博客
04-09 3264
zeek-lts from security:zeek project
zeek系列之:流量数据采集流量探针zeek安装部署
g5703129的博客
08-11 8401
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安全监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 4631
本文档记录流量分析工具 zeek安装过程以及如何使用它来分析 pcap 流量文件
Centos7 zeek安装
07-27
要在CentOS 7上安装Zeek,您可以按照以下步骤进行操作: 1. 更新系统: ``` sudo yum update ``` 2. 安装依赖项: ``` sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel ``` 3. 下载Zeek源代码: ``` wget https://download.zeek.org/zeek-4.0.1.tar.gz ``` 4. 解压缩源代码包: ``` tar -xf zeek-4.0.1.tar.gz cd zeek-4.0.1/ ``` 5. 配置和编译Zeek: ``` ./configure make sudo make install ``` 6. 添加Zeek到系统路径中: ``` echo 'export PATH=/usr/local/zeek/bin:$PATH' >> ~/.bashrc source ~/.bashrc ``` 7. 验证Zeek是否安装成功: ``` zeek --version ``` 如果显示Zeek的版本信息,则表示安装成功。 请注意,上述步骤是基于CentOS 7的安装过程,并且假设您已经具有适当的权限来执行这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值