我使用以下tcpdum命令捕获了一些数据。
tcpdump -i eth1 -w eth1_data.pcap -X
之后,我运行以下命令,使用eth1_data.pcap
分析Bro
文件。
bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }"
我使用的是Bro 2.4.1版本。我没有更改命令以外的任何配置。上面的命令执行后会生成很多文件。现在我必须找到一些社交网站转移的字节,例如HTTS://www.twitter.com。我没有在http.log中找到有关上述网站的正确信息。
我知道https网站的内容已加密,但可以提取元数据(因为app_stats.log也提供了一些信息)。
我应该从UID
中选择ssl.log
然后找到使用相同的uid从conn.log转移的resp_ip_bytes吗?
或者获取https网站元数据信息的其他方式?
答案 0 :(得分:3)
听起来你已经走上了正确的道路。
使用resp_ip_bytes
时要记住的一个小注意事项是,其大小将包括每个数据包的IP和TCP标头。此外,在该数字中没有考虑TCP重组,因此即使没有发送新数据,分组重传也会增加数量。如果您正在查找内容正文大小,则应使用resp_bytes
字段,但请记住,这仍将包含所有SSL / TLS框架,并且该计数的内容将被压缩。
我想做的另一个小注意事项是,由于缺乏维护和方法的一般问题,我们从2.5中删除了app_stats
脚本。
您正在寻找特别的东西吗?