Zeek/Bro IDS - Sumstats - количество TCP-сегментов одинакового размера?
Я пытаюсь написать свой первый скрипт в Zeek, который позволил бы делать статистику из сегментов пакетов TLS, отправленных и полученных клиентом в локальной сети (количество пакетов с одинаковым размером, список адресов назначения по отправленным пакетам). К сожалению, я не могу найти подходящее событие или руководство, которое помогло бы мне найти решение для этого. Могу я получить совет по этому поводу?
0 ответов
У Zeek есть несколько событий на уровне пакетов, с которых вы можете начать:
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-new_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-raw_packet
- https://docs.zeek.org/en/current/scripts/base/bif/event.bif.zeek.html#id-packet_contents
Обратите внимание на предупреждение, которое приходит с этими событиями: они несут большие накладные расходы на событие, поскольку они будут генерироваться для каждого пакета, поэтому они, скорее всего, не подходят для развертывания в реальном трафике.