問題タブ [bro]

誰かが Bro (v2.4.1) を使用して私のサーバーで ssh ブルートフォース攻撃を行おうとしているときに、電子メール通知を生成するのに問題があります。最大ログイン試行回数を 24 時間あたり 5 回に再定義する、次のような Bro スクリプトがあります。

ここで、192.168.178.16 はサーバーのローカル IP であり、$PREFIX/site/local.bro に含めることで、スクリプトが確実に読み込まれるようにしました。の出力はbroctl scripts、起動時にスクリプトが問題なくロードされていることを示しています。ただし、ssh ブルートフォーシング攻撃の電子メール通知を受け取ることはありません。

接続の概要、ドロップされたパケット、および無効な ssl 証明書の通知は問題なく電子メールで送信されるため、電子メールの構成の問題ではありません。次のようにsshログ出力を確認すると：

6 回の失敗したログイン試行 (これをテストするために生成したもの) は、/opt/bro/logs/current/ssh.log に問題なく記録されます。

しかし、私はこれが起こっていることを電子メールで通知することはありません. 私が考えることができる唯一の理由は、ssh を介したパスワード ログインが無効になっていることです。そのため、秘密鍵なしでログインしようとすると、Bro で ssh_failed_login イベントが発生しない可能性があります。上記の表の auth_success 列は、失敗したログイン試行に対して「-」を示していますが、成功したログインは「T」を示しているため、イベントが発生するためには「F」である必要がありますか?

どんな助けや提案も大歓迎です！

pcap ファイルから考えられるすべてのプロトコルのすべてのファイルを抽出することを目的として、bro スクリプトを作成しました。しかし、すべてのログを書きたくありません。Bro は、各プロトコルのログ ファイルを作成します。例: 「http.log」、「smtp.log」など。「weird.log」も生成されます。私の pcap ファイルは大きい (20 GB) ため、各ログ ファイルには 30 MB を超える情報が含まれています。このログ生成により、ファイル抽出のパフォーマンスが低下します。次の行で「conn.log」を無効にできますLog::disable_stream(Conn::LOG)が、すべてのプロトコル ログはどうなりますか?? これは私のスクリプトです

Pcap ファイルからすべてのファイルを抽出するために、この bro スクリプトを作成しました。問題は、すべてのファイルを抽出していないことです。Wireshark で分析した http.cap があり、Http オブジェクトをエクスポートして 2 つの .html ファイルにしました。私の仲間のスクリプトは、このファイルの 1 つだけを抽出しています。

私はこのように仲間のスクリプトを呼び出しました: bro -r http.cap myscript.bro. 印刷関数を使用して file_sniff イベントをデバッグしたところ、2 つの .html ファイルのうち 1 つだけが追跡されました。それはBroプラットフォームに何か問題がありますか、それとも私が見逃しているものですか? これは私の pcap ファイルです。

この他の pcap ファイルでも試してみましたが、同じ結果が得られました。Wireshark では、いくつかの画像、js および http ファイルを取得し、bro は 2 つの画像のみを抽出します。

これに対する答えを高低で検索しましたが、2日間立ち往生しています。次を使用して、ファイルから BRO IDS にデータを読み込もうとしています:

Input::add_table([$source=sinkhole_list_location, $name="sinkhole", $idx=Idx, $val=Val, $destination=sinkhole_list2, $mode=Input::REREAD]);

ファイルは、Bro のドキュメントに記載されているとおりにフォーマットされています。

フィールド ip ipname 10.10.20.20 hi 8.8.8.8 hey 192.168.1.1 yo

しかし、これを実行するたびに、または Bro IDS で他のスクリプトを実行すると、常に HEADERS ARE INCORRECT が表示されます。ファイルはどのような形式である必要がありますか??????

エラー: sinkhole_ip.dat/Input::READER_ASCII: 入力データ ファイル sinkhole_ip.dat で要求されたフィールド IP が見つかりませんでした。1481713377.164791 エラー: sinkhole_ip.dat/Input::READER_ASCII: 初期化: sinkhole_ip.dat を開けません。ヘッダーが正しくありません

次のようなコマンドラインからタブ区切りファイルと比較できます：bro -i eth1 Malware_test_ips.bro

しかし、同じスクリプトをサイト領域にインストールするたびに、比較が行われません!! 実際、まったく同じタブ区切りファイルを読み取っていないようです。以下は読み取り関数です。エラーや警告が表示されないにもかかわらず、broctl deploy ではなくコマンドラインでこれが機能するのはなぜですか? ファイル読み取り設定がありませんか?

bro IDSを使用してpcapファイルを分析する必要があります。私は多くの作業を行ってきましたが、使用されている torrent の状態をどのように見つけることができるかという 1 つのことが欠けています。bro IDS に有効にする必要のあるプラグインはありますか?