Broは接続指向分析のためのaptツールです。
192.168.1.105 49325 137.226.34.227 80 73568 146244
192.168.1.105 49547 198.189.255.74 80 16764 57098
192.168.1.105 49531 198.189.255.74 80 5186 14843
192.168.1.105 49255 198.189.255.73 80 4749 32164
192.168.1.104 1422 69.147.86.184 80 2657 2656
192.168.1.105 49251 198.189.255.74 80 2254 13854
192.168.1.1 626 224.0.0.1 626 2175 0
192.168.1.105 49513 198.189.255.82 80 2010 3852
192.168.1.103 2026 151.207.243.129 80 1953 2570
192.168.1.105 49330 143.166.11.10 64334 1514 3101
ツールでbro-cut
発送します
bro -r trace.pcap
bro-cut id.orig_h id.orig_p id.resp_h id.resp_p orig_pkts resp_pkts < conn.log \
| awk '$5+$6 > 100 {print $1,$2,$3,$4,$5,$6}' \
| sort -rn -k 5 \
| head
これは、次のような出力が得られます。フローごとのパケット数を見つけるには、トレースにブロを実行し、ログから値を抽出するだけで実行しますBroは、ログから特定の名前付き列を抽出する便利な方法を提供します。この作業のために、あなたがしたい:
id.orig_h
:接続発信元のIP(ソース)
id.orig_p
:接続発信元のトランスポート・レイヤ・ポート(ソース)
id.resp_h
:接続応答のIP(宛先)
id.resp_p
:接続応答のトランスポート・レイヤ・ポート(ソース)
orig_pkts
:オリジネータによって送信されたパケットの数
resp_pkts
:レスポンダによって送信されたパケットの数
注awk
フィルタ式:
awk '$5+$6 > 100 {print ...}'
それは100
より大きいパケットの合計数を有するこれらの接続への出力を制限します
固定サイズのパケットがない限り、パケットサイズ(IPまたはTCPペイロード)などの他のメトリックも調べることをお勧めします。これらは、orig_bytes
およびresp_bytes
列を介して接続ログに簡単に格納されます。
Wiresharkは要件ですか? [Bro](http://www.bro-ids.org)の接続ログをフィルタリングすることで、非常に簡単です。 – mavam
@MatthiasVallentin:返事をありがとう。 Broがwiresharkのすべての機能を持っているかどうか私に教えてもらえますか?いくつかの異なる機能を備えていますか?無料なの ?もう一度、ありがとう。 – mezda
BroとWiresharkは全く異なる獣です。 Broは強力なネットワーク分析フレームワークであり、必要に応じてスクリプト/コードを作成できます。しかし、WiresharkのようなGUIは提供していません。 Broはフリーソフトウェアで、BSDスタイルのライセンスが付属しています。 – mavam