如何使用 Bro 捕获 https 流量的元数据
How to capture metadata for https traffic using Bro
我使用以下 tcpdum 命令捕获了一些数据。
tcpdump -i eth1 -w eth1_data.pcap -X
之后我有 运行 以下命令使用 Bro.
分析 eth1_data.pcap 文件
bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }"
我使用的是Bro 2.4.1版本。除了上面的命令,我没有更改任何配置。以上命令执行后会生成很多文件。现在我必须找到一些社交网站传输的字节,例如https://www.twitter.com。我没有在 http.log 中找到有关上述网站的正确信息。
我知道 https 站点的内容是加密的,但可以提取元数据(因为 app_stats.log 也提供了一些信息)。
我应该从 ssl.log 中选择 UID 然后找到从 conn.log 转移的具有相同 uid 的 resp_ip_bytes 是否正确?
或者获取 https 站点的元数据信息的任何替代方法?
听起来你已经走对了路。
使用 resp_ip_bytes 时要记住的一个小注意事项是,其大小将包括每个数据包的 IP 和 TCP header。此外,该数字中不考虑 TCP 重组,因此即使没有发送新数据,数据包重传也会增加该数字。如果您要查找内容 body 大小,您应该使用 resp_bytes 字段,但请记住,这仍将包含所有 SSL/TLS 帧,并且该计数的内容将被压缩.
我想做的另一个小提示是,由于缺乏维护和方法的一般问题,我们从 2.5 中删除了 app_stats 脚本。
您有什么特别要找的吗?
我使用以下 tcpdum 命令捕获了一些数据。
tcpdump -i eth1 -w eth1_data.pcap -X
之后我有 运行 以下命令使用 Bro.
eth1_data.pcap 文件
bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }"
我使用的是Bro 2.4.1版本。除了上面的命令,我没有更改任何配置。以上命令执行后会生成很多文件。现在我必须找到一些社交网站传输的字节,例如https://www.twitter.com。我没有在 http.log 中找到有关上述网站的正确信息。
我知道 https 站点的内容是加密的,但可以提取元数据(因为 app_stats.log 也提供了一些信息)。
我应该从 ssl.log 中选择 UID 然后找到从 conn.log 转移的具有相同 uid 的 resp_ip_bytes 是否正确?
或者获取 https 站点的元数据信息的任何替代方法?
听起来你已经走对了路。
使用 resp_ip_bytes 时要记住的一个小注意事项是,其大小将包括每个数据包的 IP 和 TCP header。此外,该数字中不考虑 TCP 重组,因此即使没有发送新数据,数据包重传也会增加该数字。如果您要查找内容 body 大小,您应该使用 resp_bytes 字段,但请记住,这仍将包含所有 SSL/TLS 帧,并且该计数的内容将被压缩.
我想做的另一个小提示是,由于缺乏维护和方法的一般问题,我们从 2.5 中删除了 app_stats 脚本。
您有什么特别要找的吗?