Zeek не сохраняет файлы даже после загрузки скрипта. Что мне не хватает?

Question

Zeek не сохраняет файлы даже после загрузки скрипта. Что мне не хватает?

Я пытаюсь настроить Zeek для хранения файлов (каждого файла) на диске, но безуспешно. ОС, которую я использую: Debian 10.

Что я сделал до сих пор:

Я установил этот модуль: https://github.com/hosom/file-extraction (даже после перехода на этот сайт https://www.ericooi.com/zeekurity-zen-part-vi-zeek-file-analysis-framework, я не мог заставить его работать).
Я загрузил скрипт frameworks / files / extract-all-files.

Я вижу, что скрипты загружены, после проверки loaded_scripts.log

Я новичок в Zeek и хотел бы узнать, как включить zeek для сохранения файлов (которые передаются по сети) и хранения на диске. Единственный вид сохраняемых файлов: HTTP и SSL.

Я уверен, что делаю много ошибок, но не могу найти правильный путь.

0

bro zeek

Источник

user3168770 11 май '21 в 21:38

1 ответ

Другие вопросы по тегам bro zeek

user358904 12 май '21 в 22:20 2021-05-12 22:20 · Answer 1 · 2021-05-12 22:20

Распространенная проблема при прохождении трафика через Zeek заключается в том, что пакеты могут иметь неверные контрольные суммы. Zeek по умолчанию пропускает такие пакеты, поэтому в конечном итоге отсутствуют журналы / файлы / артефакты, которые ожидает пользователь. Часто эти неверные контрольные суммы вызваны разгрузкой контрольной суммы, когда процесс захвата пакетов захватывает переданные пакеты до того, как сетевая карта имеет возможность исправить контрольные суммы.

Обычно Zeek предупреждает, когда обнаруживает недопустимые контрольные суммы - поищите что-то похожее на следующее на stderr или в reporter.log:

Ваш файл трассировки, вероятно, имеет неверные контрольные суммы TCP, скорее всего, из-за разгрузки контрольной суммы сетевого адаптера. По умолчанию пакеты с недопустимыми контрольными суммами отклоняются Zeek, если не используется параметр командной строки -C или переключение переменной ignore_checksums.

(Это из find-checkum-offloading.zeek, который включен в конфигурацию Zeek по умолчанию.)

Здесь у вас есть много вариантов. Ты можешь:

запустить Зика с -C, как указано выше
сказать redef ignore_checksums=T; в скрипте (обычно local.zeek)
добавьте переопределение в командную строку: zeek -r the.pcap ... ignore_checksums=T
исправить контрольные суммы в pcap, например, с помощью tcprewrite -C -i input.pcap -o fixed.pcap ( tcprewrite поставляется с tcpreplay) - это лучше всего, если другие тоже будут использовать ваш pcap.