1. Zuhause
  2. Frage und Antwort
  3. Wie Video-und HTTPS-Verkehr mit bro überwachen Netzwerksicherheitsmonitor

Wie Video-und HTTPS-Verkehr mit bro überwachen Netzwerksicherheitsmonitor

2016-05-09 11 views
0

Ich habe Bro auf meinem System erfolgreich konfiguriert. OS ist Centos 7. Ich muss Multimedia-Verkehr z. Youtube und einige soziale Seite wie Facebook. Ich begann Bro für einige Miniuten während der Verwendung von Facebook und Youtube, aber sie sind keine Informationen über Youtube in http Protokolldatei Nithir Facebook. Wie ich denke, dass dies ein Protokoll-Problem ist, wie Facebook https statt http verwenden, aber ich weiß nicht, warum Youtube.Wie Video-und HTTPS-Verkehr mit bro überwachen Netzwerksicherheitsmonitor

Ich habe die folgenden Schritte nach dem Einstellen der richtigen Schnittstelle gefolgt.

[BroControl] > install

Dann

[BroControl] > start

Aber ich habe keine youtube oder facebook info in http.log gefunden. Wie bekomme ich Verkehrsinformationen von solchen Websites?

Quelle

2016-05-09 Shafiq

+0

Bitte teilen Sie uns mit, was Sie bisher unternommen haben, um das Problem zu beheben. Wie ist Ihre node.cfg konfiguriert? Haben Sie überprüft, dass Sie die relevanten Daten mit TCPDump sehen können? Wenn 'https' verwendet wird, machst du irgendetwas, um die Daten zu entschlüsseln? Wenn nicht, bin ich nicht sicher, warum Sie * erwarten *, den Inhalt zu lesen, und ich bin auch nicht sicher, warum Sie in das http.log schauen würden. Überprüfen Sie die ssl.log auf Zertifikatsinformationen. Ich denke auch du wirst feststellen, dass Youtube standardmäßig auch über HTTPS ist. –

Antwort

0

Mehrere Dinge kommen

1) in den Sinn Was sind die Inhalte von /usr/local/bro/etc/node.cfg? Stellen Sie sicher, dass es sich um die Schnittstelle handelt, von der Sie erwarten, dass der Datenverkehr über eine Spanne oder einen Tap geht.

2) Run tcpdump -i <interface> wo Schnittstelle von Frage kommt 1.

3) /usr/local/bro/bin/broctl diag starten, um zu sehen, ob es irgendwelche Probleme gibt.

4) Führen Sie /usr/local/bro/bin/broctl status aus, um zu überprüfen, ob alles läuft.

Wenn die Schnittstelle falsch ist, kann die Lösung so einfach sein.

Quelle

2016-05-12 16:33:53 aeppert

+1

Dies ist keine Antwort. – TomSlick

+0

@TomSlick dies neu bewerten. Die bereitgestellten Informationen im ursprünglichen Beitrag waren nicht ausreichend, um wirklich eine notwendige Antwort zu liefern. Ich habe die Antwort umformuliert, um eher eine Antwort zu sein. Es ist jedoch ein nicht-triviales Problem, und wenn Sie die zugrunde liegende Software nicht verstehen, ist es schwierig, sie in einem begrenzten Raum angemessen zu beschreiben. – aeppert

+0

@TomSlick Dies ist eine vollständig gültige Antwort auf eine wirklich umfassende Frage. Ausgehend von der Prämisse, dass die Schnittstelle wahrscheinlich falsch konfiguriert ist, ist dies eine relevante Antwort. Das ist jedoch nicht das Problem. –

2

Das Problem ist, dass Sie erwarten, SSL-verschlüsselten Datenverkehr magisch entschlüsselt werden und in Ihrem http.log erscheinen. Wenn Sie noch einmal schauen, werden Sie feststellen, dass YouTube auch über HTTPS läuft.

Sofern Sie nicht etwas unternehmen, um die SSL/TLS-Verbindungen als Man-in-the-Middle zu behandeln, können Sie nicht erwarten, den Inhalt sehen zu können. Wenn du es nicht sehen kannst, kann Bro es auch nicht sehen. :)

Wenn Sie überprüfen möchten, ob Sie ordnungsgemäß konfiguriert sind, würden Sie am besten mit Blick auf die conn.log zu überprüfen, dass die Verbindungen auftreten. Sobald Sie das getan haben, suchen Sie nach den UID Werten in den anderen Protokollen und ich vermute stark, dass Sie sehen werden, dass Sie SSL-Zertifikatdaten finden.

Quelle

2016-05-15 06:20:46

+0

Sir, ich möchte den Inhalt nicht sehen, ich brauche nur Metadaten (Inhaltslänge) nur. Actucally muss ich herausfinden, wie viele Daten von Facebook nur übertragen werden. – Shafiq

+0

Verwenden Sie dann die Datei conn.log, um zu sehen, wie viele Bytes übertragen wurden. –

+0

Ich habe eine ähnliche Frage an http://stackoverflow.com/questions/42509155/how-to-capture-metadata-for-https-traffic-using-bro-ids geschrieben. Bitte führen Sie, wenn Sie können – Shafiq

 Verwandte Themen

  • Keine verwandten Themen^_^