使用suricata和bro分析pcap文件
作者没有在自己电脑上安装这两个软件,而是直接通过学校的服务器来使用suricata和bro的(这里推荐远程连接工具MobaXterm,比xshell好用太多),也是黑瞎子摸鱼,啥也不会,然后看suricata和bro的文档看到吐,下面的步骤比较简单,但对于当时零起步的我来说也是费了好大功夫(菜菜菜的,捂脸)~~~
1.pcap包的来源:
1)从wireshark软件中抓取
2)从一些网站中下载,这个页面提供了几个链接https://www.cnblogs.com/bonelee/p/11379587.html
我主要从https://www.malware-traffic-analysis.net/index.html下载pcap文件
2.使用suricata分析pcap文件并产生日志
上图是使用suricata对pcap文件进行分析,格式是:suricata -r pcap文件名 -l 自定义输出位置
我们看到在我们的指定文件夹下就有了suricata对pcap文件的检测日志。每种日志的信息可以去官网https://suricata.readthedocs.io/en/suricata-5.0.1/查看。
这个是fast.log里面的部分条目,里面是警报记录。
2.使用bro分析pcap文件
得到日志文件
以上只是完成了入侵检测的功能,针对日志是需要做进一步的处理工作的,这里就说这些啦,首个博客噢,点赞持续更新嘿嘿!
来源:CSDN
作者:Cassio Gao
链接:https://blog.csdn.net/kaixue123/article/details/103782901