bro - Zeek/Bro IDS - Sumstats - 数量相似大小的 TCP 段?
问题描述
我正在尝试在 Zeek 中编写我的第一个脚本,该脚本将允许对本地网络中客户端发送和接收的 TLS 数据包段进行统计(相同大小的数据包数量,发送数据包的 dest ip 列表)。不幸的是,我找不到合适的活动或指南来帮助我找到解决方案。我可以得到这个建议吗?
解决方案
Zeek 有一些数据包级别的事件可以帮助您入门:
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-new_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-raw_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-packet_contents
请注意这些事件附带的警告:它们会产生较高的每个事件开销,因为它们将为每个数据包生成,因此它们很可能不适合在实时流量上部署。
推荐阅读
- xml - 如何在自定义扩展中禁用 OOTB entryMergeFilterConfigurableProduct?
- java - 替换 Velocity 中的 XML 值
- ssms-2012 - 更新 SQL Server 数据库中的列标题
- sql-server - SSDT 因删除临时表而崩溃
- reactjs - Yup 模式可以报告违反规则的组合吗?
- javascript - 使用 JQuery 获取部分类名返回 null
- typescript - 打字稿中的接口扩展在使用 x 时抛出错误
- progressive-web-apps - PWA“清单不包含合适的图标”
- qt - 如何在 Qt 中固定选项卡
- html - 使用 kable 垂直对齐列名并使用 rmarkdown 渲染到 html