Zeek分析

已于 2023-02-02 15:49:24 修改
阅读量3k 收藏 11
点赞数 1
文章标签: linux
于 2021-02-25 16:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz2230633069/article/details/114090754
版权

zeek命令行的选项设置

 

运行脚本文件

直接运行脚本 zeek  hello.zeek

event zeek_init(){
    print "hello, world!";
}
event zeek_done(){
    print "goodbye, world";
}

在Dos端,使用zeek直接解析pcap包:

1.  zeek -Cr mysql_complete.pcap  -e 'redef LogAscii::use_json=T;'  main.zeek

其中 -r 表示读取数据包的配置,  -e 'redef LogAscii::use_json=T;'表示将log文件内容以json形式输出。                 

2. 写一个__load__.zeek脚本,里面内容为

# 设置输出为json格式
@load tuning/json-logs

# 需要将自己写的zeek脚本加入生效
# @load ./datatypes.zeek

zeek -Cr mysql_complete.pcap  ./      后面的就是load.zeek文件所在的目录

清理log文件

要清除产生的log文件,可以编写一个shell命令文件,我命名为clean.sh, 里面的内容如下:

sudo rm conn.log dhcp.log dns.log dpd.log notice.log files.log packet_filter.log http.log snmp.log smtp.log ntp.log ssl.log weird.log x509.log > /dev/null 2>&1

注意:右击clean.sh文件,打开属性—>权限—>勾选允许作为程序执行文件,就可以解决找不到命令的问题。

动态的配置,指定输出需要解析的协议

 redef Analyzer::disable_all=T;     这样在zeek运行时默认禁止解析所有的协议,但是仍然会有conn.log和 packet_filter.log

Analyzer::enable_analyzer(协议类型)    加载需要解析的协议

或者是去禁止特定的解析协议,使用  redef Analyser:: disabled analyzers = {里面放要禁止的协议};

如果全部禁止,即注释掉zeek_init event,结果如下:只有两个log文件

如果指定了mysql协议,则输出如下:

否则会生成其他协议类型的log,能解析的全解析出来:

查看网卡获取的数据包数量,以及大小:

一只tobey
关注
专栏目录
如何自动化的对PCAP数据包进行suricata/snort/zeek分析
村中少年的专栏
06-09 2205
如何通过dalton提供的API自动化分析数据包
流量监控分析工具-ZEEK
single7_的博客
05-01 2575
0x01 About ZEEK 0x01a 什么是zeek Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应,带回复的DNS请求,SSL证书,SMTP会话的关键内容
Go最新Zeek学习(四) —— IP协议解析_zeek 协议识别(3),2024年最新怒肝三个月啃完这110道面试题
qq_38197819的博客
05-12 966
(img-03Lgofxn-1715518872475)](img-6xAew25g-1715518872476)](img-aWrMfbGz-1715518872476)]len: 当前IP报文 - 头部长度。len: 当前IP报文 - 头部长度。// 对协议和头部长度进行检查。data:当前IP报文的负载。data:当前IP报文的负载。// 获取原始IPV4结构。// 获取原始IPV6结构。// 当前负载长度/总长度。// 对DF进行检查。
Zeek 7 正式发布!一款广受欢迎的开源网络安全监控工具
最新发布
网络技术联盟站
08-31 1741
在网络安全领域,Zeek(前称Bro)一直是一款广受欢迎的开源网络安全监控工具。作为一个被广泛使用的被动流量分析器,Zeek不仅能记录网络活动,还能检测网络中的异常行为。因此,每次新版本的发布都会引起广泛关注。2024年8月,Zeek 7 正式发布,带来了其核心架构的重大升级,以及许多全新功能。本篇文章将深入探讨 Zeek 7 的主要改进,并分析这些改进对网络安全监控的重要影响。Zeek 7 在其核心架构上进行了全面的重构,这一过程旨在将系统模块化、现代化,以提高整体性能和可扩展性。
Malcolm:Malcolm是功能强大且易于部署的网络流量分析工具套件,用于完整的数据包捕获工件(PCAP文件)和Zeek日志
04-29
马尔科姆 是功能强大的网络流量分析工具套件,旨在满足以下目标: 易于使用– Malcolm接受完整数据包捕获(PCAP)文件和Zeek(以前称为Bro)日志的形式的网络流量数据。 这些工件可以通过基于浏览器的简单界面上传,也可以实时捕获并使用轻量级转发器转发到Malcolm。 在这两种情况下,数据都将自动归一化,丰富化和关联以进行分析。 强大的流量分析–通过两个直观的界面提供对网络通信的可见性:Kibana,一个灵活的数据可视化插件,带有数十个预先构建的仪表板,可概览网络协议; Arkime(以前称为Moloch),一种功能强大的工具,用于查找和识别包括可疑安全事件在内的网络会话。 简化的部署– Malcolm作为Docker容器的群集运行,这些隔离的沙箱分别充当系统的专用功能。 这种基于Docker的部署模型,结合一些用于设置和运行时管理的简单脚本,使得Malcolm适合在各种平
使用zeek做HTTP RPC性能检测
robinfoxnan的专栏
07-28 983
*需求**我的需求是在K8S的云上添加自己的非侵入式采集工具,并检测各种后端的RPC性能,比如http_rpc,grpc,mysql,redis,mongodb,以及自定义的rpc等网络交互过程的性能;**解决方案**直接在zeek现有基础上开发脚本,并开发日志读写工具将结果转存到自己的后端;这样就基本实现了我们的需求,后续的工作只是需要扩展各种协议,以及从日志流提取数据;首先,参考HTTP的相关脚本,记录自己需要的数据,写个hello,world。1)讲解了事件与事件队列的原理。...
zeek如何分析pcap
weixin_47288838的博客
03-07 564
3.进入新建的文件夹2,sudo /usr/local/zeek/bin/zeek -C -r ../文件名.pcap或者zeek -C -r ../文件名.pcap,生成的日志文件就会存在当前目录。1.传输pcap,在pcap存在的文件夹下 sudo mv 文件夹名称 移动的位置。2.在zeek下新建你要存放日志的文件夹sudo mkdir 2。
解析pcap包工具
10-04
能把抓到的pcap包文件中g.729编码的rtp流解析存为wav文件
Zeek是一个功能强大的网络分析框架,与您可能知道的典型IDS有很大不同。-C/C++开发
05-26
Zeek网络安全监控器一个强大的框架,用于网络流量分析和安全监控。 主要功能-文档-入门-开发-许可在Twitter上@zeekurity上关注我们。 Zeek网络安全监控器一个强大的框架,用于网络流量分析和安全监控。 主要功能-...
spicy-analyzers:越来越多的基于Spicy的Zeek协议和文件分析器集合
03-16
基于辣的Zeek分析仪 该存储库提供了一个软件包,该软件包安装了一组通过实现的协议和文件分析器。 当前,包括以下分析器: DHCP [1] DNS [1] HTTP [1] PNG 便携式可执行(PE) [2] TFTP 线卫 我们正在努力...
zeek-quic:可检测Google QUIC协议的Bro分析
05-07
适用于Zeek的Google QUIC分析器/检测器 该分析器可以使用以下描述的有线格式来解析和检测QUIC的Google实现(此处为简单起见,此处称为GQUIC): 。 Chrome在编写此分析器时使用的GQUIC版本是Q039,某些Google...
zeek_3.0.8
02-26
Zeek网络安全监视器 一个的网络流量分析和安全监控框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用的资源。 您可以在找到发行说明,并在中找到所有更改的完整记录。 要使用Zeek开发分支的最新代码,请克隆主git存储库: git clone --recursive https://gith
Zeek
02-18
Zeek,原名为Bro,是一款开源的网络分析框架,它在网络安全领域中扮演着重要的角色。这个框架的主要目的是提供一种高效、灵活的方式来监控和分析网络流量,帮助安全专家和研究人员发现潜在的安全威胁和异常行为。...
基于多种流量检测引擎识别pcap数据包中的威胁
村中少年的专栏
04-17 1628
统一suricata,snort,zeek等多种引擎构建本地的数据包威胁识别环境,打造安全分析师的兵器
【开源】Zeek编程之:日志添加自定义字段
roshy的专栏
04-22 1136
转载,可参照文中叙述方法对日志字段扩展添加自己想要的内容,比如本采集器IP等 添加自定字段,如human_readable time字段: FILE $bro/share/bro/base/protocols/http/human_time_http.bro @load base/protocols/http module HTTP; export { redef record I...
zeek语法
zz2230633069的博客
02-07 4609
zeek语法全教程,详细讲解附带例子
zeek简述(一)
zz2230633069的博客
01-13 9667
概述 Zeek是一个开源的、被动网络流量分析软件。它主要被用作安全监测设备来检查链路上的所有流量中是否有恶意活动的痕迹。但更普遍地,Zeek支持大量安全领域外的流量分析任务,包括性能测量和帮助排查问题。 Zeek并不是传统意义上的基于特征的入侵检测系统(IDS)。 许多地方部署Zeek是为了保护它们的网络基础设施。Zeek主要关注于高速率、大流量的网络监测。 Zeek的管理框架——ZeekControl——支持开箱即用的集群配置。 图灵机:是图灵在论文中提出的数学模型。论文描述了它是什么,并且证
zeek:一款流量分析探针
猪肉炖白菜
09-25 1552
关于Zeek日志文件的介绍,方便你了解zeekZeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。.........
zeek使用
weixin_47288838的博客
12-11 1178
这种错误在许多系统中会发生,因为存在一个名为“checksum offloading”的功能,但这并不会影响我们的分析。这个命令会显示捕获文件中的每个数据包的详细信息,包括源IP地址、目标IP地址、源端口、目标端口等。通过这些信息,你可以分析网络通信中的各种情况,比如了解哪些主机在通信、它们之间交换的数据包类型以及通信的协议等。它可以显示网络数据包的详细信息,如源IP地址、目标IP地址、端口号、协议类型等,并允许用户在捕获数据包的同时应用一些过滤条件来选择特定的流量进行分析。命令来显示每个日志的内容。
Centos7 zeek安装
07-27
要在CentOS 7上安装Zeek,您可以按照以下步骤进行操作: 1. 更新系统: ``` sudo yum update ``` 2. 安装依赖项: ``` sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-devel python-devel swig zlib-devel ``` 3. 下载Zeek源代码: ``` wget https://download.zeek.org/zeek-4.0.1.tar.gz ``` 4. 解压缩源代码包: ``` tar -xf zeek-4.0.1.tar.gz cd zeek-4.0.1/ ``` 5. 配置和编译Zeek: ``` ./configure make sudo make install ``` 6. 添加Zeek到系统路径中: ``` echo 'export PATH=/usr/local/zeek/bin:$PATH' >> ~/.bashrc source ~/.bashrc ``` 7. 验证Zeek是否安装成功: ``` zeek --version ``` 如果显示Zeek的版本信息,则表示安装成功。 请注意,上述步骤是基于CentOS 7的安装过程,并且假设您已经具有适当的权限来执行这些操作。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值