使用suricata和bro分析pcap文件

自古美人都是妖i 提交于 2019-12-31 16:09:38

使用suricata和bro分析pcap文件

作者没有在自己电脑上安装这两个软件,而是直接通过学校的服务器来使用suricata和bro的(这里推荐远程连接工具MobaXterm,比xshell好用太多),也是黑瞎子摸鱼,啥也不会,然后看suricata和bro的文档看到吐,下面的步骤比较简单,但对于当时零起步的我来说也是费了好大功夫(菜菜菜的,捂脸)~~~

1.pcap包的来源:

1)从wireshark软件中抓取
2)从一些网站中下载,这个页面提供了几个链接https://www.cnblogs.com/bonelee/p/11379587.html
我主要从https://www.malware-traffic-analysis.net/index.html下载pcap文件
网站截图

2.使用suricata分析pcap文件并产生日志

在这里插入图片描述
上图是使用suricata对pcap文件进行分析,格式是:suricata -r pcap文件名 -l 自定义输出位置
在这里插入图片描述
我们看到在我们的指定文件夹下就有了suricata对pcap文件的检测日志。每种日志的信息可以去官网https://suricata.readthedocs.io/en/suricata-5.0.1/查看。
在这里插入图片描述
这个是fast.log里面的部分条目,里面是警报记录。

2.使用bro分析pcap文件

在这里插入图片描述
得到日志文件
在这里插入图片描述
以上只是完成了入侵检测的功能,针对日志是需要做进一步的处理工作的,这里就说这些啦,首个博客噢,点赞持续更新嘿嘿!

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!