Я пытаюсь написать свой первый скрипт в Zeek, который позволил бы делать статистику из сегментов пакетов TLS, отправленных и полученных клиентом в локальной сети (количество пакетов одинакового размера, список IP-адресов назначения по отправленным пакетам). К сожалению, я не могу найти подходящее событие или руководство, которое помогло бы мне найти решение для этой проблемы. Могу ли я получить консультацию по этому поводу?
Zeek/Bro IDS — Sumstats — количество TCP-сегментов одинакового размера?
Ответы (1)
В Zeek есть несколько событий на уровне пакетов, которые могут помочь вам начать работу:
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-new_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-raw_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-packet_contents
Обратите внимание на предупреждение, которое приходит с этими событиями: они требуют больших накладных расходов на каждое событие, поскольку они будут генерироваться для каждого пакета, поэтому они, скорее всего, не подходят для развертывания в реальном трафике.
person
Christian
schedule
21.09.2020
