Как отслеживать видео и https-трафик с помощью монитора безопасности сети bro
Я настроил братан в моей системе успешно. ОС - это centos 7. Мне нужно отслеживать мультимедийный трафик, например, youtube и какой-нибудь социальный сайт, например, Facebook. Я начал работать с браузером несколько минут, используя facebook и youtube, но их нет информации о youtube в http файле журнала nithir facebook. Что касается я думаю, что это проблема протокола, так как Facebook используют https, а не http, но я не знаю, почему YouTube.
Я выполнил следующие шаги после установки правильного интерфейса.
[BroControl] > install
затем
[BroControl] > start
Но я не нашел никакой информации YouTube или Facebook в http.log. Как получить информацию о трафике таких сайтов?
2 ответа
Проблема в том, что вы ожидаете, что зашифрованный трафик SSL будет магически расшифрован и появится в вашем http.log, Если вы посмотрите снова, вы обнаружите, что YouTube также работает по HTTPS.
Если вы не делаете что-то для перехвата и выполняете роль посредника для соединений SSL/TLS, вы не можете ожидать, что сможете увидеть контент. Если ты этого не видишь, Бро тоже этого не видит.:)
Если вы хотите убедиться, что вы правильно настроены, вам лучше всего посмотреть на conn.log чтобы убедиться, что соединения происходят. Как только вы это сделаете, найдите UID значения в других журналах, и я сильно подозреваю, что вы увидите, что вы находите данные сертификата SSL.
Несколько вещей приходят на ум
1) Каково содержание /usr/local/bro/etc/node.cfg? Убедитесь, что именно через этот интерфейс трафик будет проходить через пролёт или касание.
2) Беги tcpdump -i <interface> где интерфейс происходит из вопроса 1.
3) Беги /usr/local/bro/bin/broctl diag чтобы увидеть, есть ли какие-либо проблемы.
4) Беги /usr/local/bro/bin/broctl status чтобы убедиться, что все работает.
Если интерфейс неправильный, решение может быть таким простым.