zeek(bro) 脚本学习 二

最新推荐文章于 2025-05-18 09:05:14 发布
最新推荐文章于 2025-05-18 09:05:14 发布
阅读量961 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全 知识点 文章标签: zeek bro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lepton126/article/details/102830774
本文详细解析了Bro IDS系统在2.6.3版本中的加载策略,包括默认路径设置、相对路径导入规则以及__load__.bro文件的内容结构,揭示了Bro如何通过递归执行加载不同模块,实现网络入侵检测系统的高效运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

load 语句,缺省路径 :

<prefix>/share/bro

<prefix>/share/bro/policy

<prefix>/share/bro/site

在bro version 2.6.3 版本中,缺省路径为 <prefix>/share/bro/policy

[root@clusternode zeekbro-code]# cat load-test.bro                                 

@load protocols/ssl/weak-keys.bro

[root@clusternode zeekbro-code]# bro -r test.pcap load-test.bro

当load后为相对路径为目录时,则导入该路径下__load__.bro,比如 <prefix>/share/bro/base/frameworks/notice下__load__.bro,其内容如下

@load ./main

@load ./weird

 

# There should be no overhead imposed by loading notice actions so we

# load them all.

@load ./actions/drop

@load ./actions/email_admin

@load ./actions/page

@load ./actions/add-geodata

 

# Load here so that it can check whether clustering is enabled.

@load ./actions/pp-alarms

将递归执行

zeek(bro) 脚本学习
lepton126的专栏
10-18 2472
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...
Bro脚本语法4-声明和语句(Declarations and Statements)
mhpmii的专栏
10-26 2818
Bro脚本语法4-声明和语句(Declarations and Statements)@(教程)[Bro]Declarations Name Description module 改变当前模块 export 从当前模块导出定义 global 声明一个全局变量 const 声明一个全局常量 type 声明一个一用户自定义类型 redef 重新定义一
zeek(bro) 脚本学习
lepton126的专栏
02-20 2598
参考https://blog.csdn.net/roshy/article/details/88827716 zeek(bro)读取pcap包后,缺省状态输出数个log文件,主要分以下几个类别: 诊断日志:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log 会话日志:conn.log 告警信息:weird.log ...
Zeek网络安全分析框架深入体验
weixin_35756130的博客
05-18 957
网络安全领域随着技术的不断进步而演变,面临的挑战也日益复杂。恶意攻击、数据泄露等事件频发,让网络的安全防护变得更加重要。随着传统防御技术的局限性逐渐暴露,网络安全从业者开始寻求更加智能、灵活的解决方案。在面对复杂多变的网络环境时,可能需要分析一些非标准或自定义协议。Zeek支持用户定义协议解析器,通过编写解析逻辑来处理这些特定的流量。以下是创建一个简单的用户自定义协议解析器的基本步骤:定义新协议的事件类型:在Zeek脚本中声明新的事件类型,用于描述自定义协议的关键数据结构。
bro-scripts:我写的 Bro 脚本
06-01
兄弟脚本 这个存储库包含我编写的脚本。 syslog-outbound.bro脚本的示例输出: $ zcat 2013- * /notice * | grep Outbound | head -1 1377595970.788206 YI9hmdEIE46 31.2.42.8 10269 63.43.24.59 514 - - - udp SYSLOG::Detected_Outbound_Message Syslog message destined to non-local networks - 31.2.42.8 63.43.24.59 514 ipmi.bro脚本的示例输出: $ zcat 2013-09- * /notice * | grep IPMI | hea
bzar:一组用于检测ATT&CK技术的Zeek脚本
05-02
BZAR(基于Bro / Zeek ATT&CK的分析和报告) 1.简介 BZAR项目使用“ Bro / Zeek网络安全监视器”来检测基于ATT&CK的对抗活动。 是针对网络对手行为的公开提供的精选知识库,反映了对手生命周期的各个阶段以及已知的目标平台。 ATT&CK模型包括众多威胁组的行为。 BZAR是一组Bro / Zeek脚本,利用SMB和DCE-RPC协议分析器以及文件提取框架来检测类似ATT&CK的活动,发出通知并写入通知日志。 BZAR和汽车 BZAR是的组成部分。 它最初位于该库中,但是由于对Zeek软件包的要求,因此将其移至其自己的存储库中。 它仍然作为CAR的组件进行管理。 2.根据您的环境调整BZAR 必须针对您的特定操作环境调整BZAR。 例如,BZAR检测到的某些类似ATT&CK的活动可能是您环境中的授权活动和合法活动。 因此,这些检测将在通知日志中产生许多
零基础学Zeek:用BRO脚本实现自动化威胁情报提取.pdf
最新发布
05-27
文档仅供学习参考,请勿用作商业用途。 从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、维码...
bro_scripts:我的一些 BRO IDS 兄弟脚本
07-06
在"bro_scripts-master"这个压缩包中,我们可以期待找到一些作者自定义的BRO脚本,这些脚本可能涵盖了以下几个方面: 1. **特定协议分析**:脚本可能针对某些非标准或者特殊的网络协议进行解析和审计,例如加密通信...
2.5 Bro脚本入门
liyh_xd的博客
02-24 1124
基于Bro 2.5.3 文档,按照原文结构整理,非原文翻译,建议阅读英文文档后阅读,如有错误请不吝指出。原文地址:https://www.bro.org/sphinx/scripting/index.html时间修改内容2018.02.24完成全文    一、理解Bro脚本语言Bro主要提供两项能力:解析流量并生成event,整个过程不对使用者开放,也不对生成的event进行分析。分析event并...
bro_scripts:我收集的兄弟脚本
07-12
兄弟脚本 我收集的兄弟脚本
bro脚本实例讲解
Leeboy_Wang的专栏
01-25 2782
1、过滤出数据包中的文件global mime_to_ext: table[string] of string = { ["application/x-dosexec"] = "exe", ["text/plain"] = "txt", ["image/jpeg"] = "jpg", ["image/png"] = "png", ["text/html"] = "html", }; e
rdfp:Zeek的远程桌面客户端指纹脚本。 基于https:github.com0x4D31fatt
02-04
rdfp:Zeek的远程桌面客户端指纹脚本。 基于https:github.com0x4D31fatt
anomalous-dns:一组zeek脚本,提供了用于跟踪和关联异常DNS行为的模块
05-10
异常DNS 一组zeek脚本,提供了一个用于跟踪和关联异常DNS行为的模块。 通过连接持续时间和数量,请求和答案大小,DNS请求类型以及每个域的唯一查询来检测隧道和C&C。 基于A记录和ASN的快速通量网络的统计分类。 要求 domain-tld: : (与软件包自动安装) 安装 zkg install jbaggs/anomalous-dns 文献资料 当前文档由内联注释组成。
bro-http2:ZeekBro插件,提供http2解码器分析器
05-18
Zeek HTTP2分析器插件 该插件为 3.0.x和3.1.x提供了HTTP2( )解码器/分析器。 如果您对于ZeekBro)的较早实例(即2.6.x或更旧的版本)需要此功能,请参阅此插件的最新0.4.x版本。 公开的事件试图模仿本机HTTP分析器公开的事件 安装 要求 Nghttp2 需要Nghttp2 1.11.0或更高版本。 该插件使用解压缩库,并且该版本之前不支持所用API的某些部分。 nghttp2 Library - https://github.com/nghttp2/nghttp2 在CentOS 7上: # sudo yum install libnghttp2-devel 在Ubuntu 16.04上: Ubuntu的apt储存库上的libnghttp-dev版本太旧(编写本文时为1.7.1版),因此您必须从手动安装该库。 布罗特利 Brotli是
zeek-sanitize:用于清理Zeek日志的Python脚本
04-01
消毒 用于清理Zeek日志的Python脚本。 用法 sanitize.py <盐值> <字段列表,以逗号分隔> 如: cat conn.log | 切工| python sanitize.py mysalt 2,4 $ gunzip -c /usr/local/zeek/logs/2021-03-31/conn.08\:53\:31-09\:00\:00.log.gz | zeek-cut | python sanitize.py somelongsaltvalue 2,4 1617195206.877965 CV2G122dMtlNo3Rgv3 b530c19c772a39493981420b5100e3f0 61584 06067a84047d2e80fa39d09dd8868671 53 tcp - 0.001868 36 0 SH T T 0 SADF 5 248 0 0
sip-attacks:zeek程序包,用于检测SIP协议中的攻击
02-12
检测SIPG-3700的简单策略:原因SIP网关注册或身份验证失败。 脚本提供以下功能 1) It identifies SIPG-3700 failures in SIP protocol 2) Generates a SIP::SIPG3700 alert/notice 安装 zeek-pkg安装initconf / sip-attacks或@load sip-attacks / scripts 详细说明: 详细警报和描述:脚本生成以下警报: 启发式方法很简单:检查 这将产生以下种类的通知: SIP :: BadUserAgent SIP :: Code_401_403 警报示例: 1515989011.284952-37.8.44.2 14622 131.243.4.100 5060---udp SIP :: Code_401_403 SIP蛮力:401-403禁止-37.8
Bro脚本语法3-属性(Attributes)
mhpmii的专栏
10-26 1380
Bro脚本语法3-属性(Attributes)@(教程)[Bro]Bro 脚本语言支持下面这些属性 名称 描述 &redef 重新定义一个全局的常量或者扩展一种类型. &priority 指示event 或者hook的优先级. &log 标记record中的字段写入日志. &optional 允许字段为空 &default 指定默认参数. &add_
Bro脚本语法5-指令(Directives)
mhpmii的专栏
10-26 1700
Bro脚本语法5-指令(Directives)@(教程)[Bro]Bro 脚本语言指令的概念有点类似于C语言中的宏,他会在脚本执行之前对脚本进行处理,比如哪些脚本会被加载,脚本中的哪几行会被执行等等,哪些指令展开后得到特定的字符串等等@DEBUG TODO@DIR 当前脚本的路径 Example:print "Directory:", @DIR;@FILENAME 文件名或当前的脚本Examp
zeek脚本编写-检测局域网内的http代理
whime
05-22 1346
根据官网的例子写了个zeek脚本,检测局域网内的http代理服务器(可能被用作恶意行为的跳板。 搭建简陋的http代理 http代理的作用就是转发客户端的http请求的功能,主要用到工具如下: kali主机:ip 192.168.140.131, 预装burpsuite和tcpdump。 ubuntu16.04: firefox浏览器。 首先,Kali主机作为http代理,开启burpsuite...
Zeek脚本合集:bro_scripts-master精华汇总
Bro Scripts 是一套用于网络流量分析的脚本,通常与网络安全监控工具Zeek(前身为Bro IDS)一起使用。Zeek是一种强大的网络监控平台,它通过一套脚本语言来实现对网络流量的分析和行为检测。Bro Scripts 为Zeek提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值