Как перехватить метаданные для трафика https с помощью Bro

Question

Как перехватить метаданные для трафика https с помощью Bro

У меня есть некоторые данные, используя следующую команду tcpdum.

tcpdump -i eth1 -w eth1_data.pcap -X

После этого я выполнил следующую команду для анализа eth1_data.pcap использование файла Bro,

bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }"

Я использую Bro 2.4.1 версию. Я не изменил ни одной конфигурации, кроме указанной выше в команде. Есть много файлов, которые генерируются после выполнения команды выше. Теперь я должен найти байты, переданные некоторыми социальными сайтами, например, htts://www.twitter.com. Я не нашел правильной информации о вышеупомянутых сайтах в http.log.

Я знаю, что контент для сайтов https зашифрован, но метаданные могут быть извлечены (так как app_stats.log также дает некоторую информацию).

Это правильно, что я должен выбрать UID от ssl.log а затем найти resp_ip_bytes, переданный из conn.log с таким же uid?

Или какой-нибудь альтернативный способ получения метаданных о сайтах https?

1

ssl https bro

Источник

user3454410 28 фев '17 в 12:47

1 ответ

Решение

Другие вопросы по тегам ssl https bro

user6356955 01 мар '17 в 07:44 2017-03-01 07:44 · Accepted Answer · 2017-03-01 07:44

Похоже, вы уже на правильном пути.

Одна небольшая заметка, которую нужно учитывать при использовании resp_ip_bytes является то, что размер будет включать заголовки IP и TCP из каждого пакета. Кроме того, в этом номере не учитывается повторная сборка TCP, поэтому повторная передача пакетов увеличит число, даже если новые данные не были отправлены. Если вы ищете размер тела контента, вы должны использовать resp_bytes поле, но имейте в виду, что все равно будет иметь все кадры SSL/TLS и содержимое этого счетчика будет сжато.

Еще одно небольшое замечание, которое я хотел сделать, это то, что мы удалили app_stats скрипт от 2.5 из-за отсутствия обслуживания и общих проблем с подходом.

Есть ли что-то конкретное, что вы ищете?