Как отслеживать видео и https-трафик с помощью bro network security monitor

Я успешно настроил bro в своей системе. ОС - Centos 7. Мне нужно контролировать мультимедийный трафик, например. YouTube и некоторые социальные сайты, такие как Facebook. Я начал, братан, несколько минут, используя facebook и youtube, но в http-файле журнала нет информации о youtube. Что касается, я думаю, что это проблема протокола, поскольку facebook использует https, а не http, но я не знаю, почему youtube.

Я выполнил следующие шаги после настройки правильного интерфейса.

[BroControl] > install

Затем

[BroControl] > start

Но я не нашел никакой информации о YouTube или Facebook в http.log. Как получить информацию о посещаемости таких сайтов?


network-traffic bro
person Hafiz Muhammad Shafiq    schedule 09.05.2016    source источник
comment
Пожалуйста, расскажите нам, что вы сделали, чтобы устранить эту проблему до сих пор. Как настроен ваш node.cfg? Вы убедились, что можете видеть соответствующие данные с помощью TCPDump. Если используется https, делаете ли вы что-нибудь для расшифровки данных? Если нет, то я не уверен, почему вы должны ожидать прочтения содержимого, и я также не уверен, почему вы должны смотреть в http.log. Проверьте ssl.log для получения информации о сертификате. Я также думаю, что вы обнаружите, что Youtube по умолчанию также использует HTTPS.   -  person David Hoelzer    schedule 15.05.2016

Ответы (2)


arrow_upward
2
arrow_downward

Проблема в том, что вы ожидаете, что зашифрованный SSL-трафик будет волшебным образом расшифрован и появится в вашем http.log. Если вы посмотрите еще раз, вы обнаружите, что YouTube также работает через HTTPS.

Если вы не делаете что-то для перехвата соединений SSL/TLS и выступаете в роли посредника, вы не можете ожидать, что сможете увидеть содержимое. Если ты этого не видишь, Бро тоже не видит. :)

Если вы хотите убедиться, что вы правильно настроены, вам лучше всего посмотреть на conn.log, чтобы убедиться, что соединения происходят. Как только вы это сделаете, найдите значения UID в других журналах, и я сильно подозреваю, что вы увидите, что нашли данные сертификата SSL.

person David Hoelzer    schedule 15.05.2016
comment
Сэр, я не хочу видеть контент, мне нужны только метаданные (длина контента). На самом деле, мне нужно выяснить, сколько данных передается только из facebook. - person Hafiz Muhammad Shafiq; 28.02.2017
comment
Затем используйте conn.log, чтобы увидеть, сколько байтов было передано. - person David Hoelzer; 28.02.2017
comment
Я разместил аналогичный вопрос по адресу stackoverflow.com/questions/42509155/. Пожалуйста, направьте, если можете - person Hafiz Muhammad Shafiq; 01.03.2017

arrow_upward
0
arrow_downward

Несколько вещей приходят на ум

1) Каково содержимое /usr/local/bro/etc/node.cfg? Убедитесь, что это интерфейс, через который вы ожидаете, что трафик будет проходить через span или tap.

2) Запустите tcpdump -i <interface>, где интерфейс взят из вопроса 1.

3) Запустите /usr/local/bro/bin/broctl diag, чтобы проверить, есть ли проблемы.

4) Запустите /usr/local/bro/bin/broctl status, чтобы убедиться, что все работает.

Если интерфейс неправильный, решение может быть таким простым.

person aeppert    schedule 12.05.2016
comment
Это не ответ. - person TomSlick; 12.05.2016
comment
@TomSlick переоценит это. Предоставленная информация в исходном сообщении не была адекватной, чтобы действительно дать необходимый ответ. Я перефразировал ответ, чтобы он был больше ответом. Однако это нетривиальная проблема, и если вы не понимаете базовое программное обеспечение, ее трудно адекватно описать в ограниченном пространстве. - person aeppert; 14.05.2016
comment
@TomSlick Это совершенно правильный совет по устранению неполадок на действительно широкий вопрос. Исходя из предположения, что интерфейс, вероятно, неправильно сконфигурирован, это уместный ответ. Однако проблема может быть не в этом. - person David Hoelzer; 15.05.2016