Broネットワークセキュリティモニタを使用してビデオとhttpsトラフィックを監視する方法

Question

システムにbroを正常に設定しました。 OSはcentos 7です。私はマルチメディアトラフィックをモノトール化する必要があります。 youtubeとFacebookのようなソーシャルサイト。私はfacebookとyoutubeを使用している間、いくつかのミニチュアのために仲間を始めましたが、彼らはhttpログファイルnithirのfacebookのyoutubeについての情報はありません。私はフェイスブックがhttpではなくhttpsを使用するため、これはプロトコルの問題だと思っていますが、なぜyoutubeなのか分かりません。

正しいインターフェイスを設定した後、以下の手順に従っています。

[BroControl] > install 

その後

[BroControl] > start 

しかし、私はhttp.logのあらゆるユーチューブやフェイスブックの情報を発見していません。どのようにそのようなウェブサイトの交通情報を取得するには？

Answer 1

いくつかの事が気になってき

1）/usr/local/bro/etc/node.cfgの内容は何ですか？トラフィックがスパンやタップを通過すると予想されるインターフェイスであることを確認してください。

2）インタフェースは、質問1

3）いずれかの問題があるかどうかを確認するために/usr/local/bro/bin/broctl diagを実行してから来ているファイル名を指定して実行tcpdump -i <interface>。

4）実行中であることを確認するには、/usr/local/bro/bin/broctl statusを実行します。

インターフェイスが間違っている場合は、解決策が簡単な場合があります。

Answer 2

問題はSSL暗号化されたトラフィックが魔法のように復号化されて、http.logに表示されることを期待していることです。もう一度見れば、YouTubeもHTTPS上で動作することがわかります。

SSL/TLS接続の途中人物として傍受して行動する場合を除き、コンテンツを見ることはできません。あなたがそれを見ることができなければ、Broはそれを見ることもできません。 :)

正しく構成されていることを確認する場合は、conn.logを参照して、接続が行われていることを確認することをお勧めします。一度それを行うと、他のログのUIDの値を検索すると、SSL証明書データを見つけていることが強く疑われます。