这里是新手问题: 我在新的 Ubuntu 上安装了 Bro。我运行 bro 并从 Ubuntu 创建 http 请求。兄弟记录了我收到的响应,但我没有看到任何传出请求的日志。 当我向安装在 Ubunu 上的 apache 服务器发送 http 请求时,我确实看到了请求到达日志。 我正在监控正确的网卡。 Wireshark 确实可以看到传出流量。 我需要做什么才能获取日志
Bro 2.4.1(从 bro.org 下载 tar.gz) 乌类图14.04 使用代理。
谢谢
最佳答案
您的网卡可能支持校验和卸载,导致 Bro 在网卡在输出路径上提供有效校验和之前查看数据包。如果 Bro 看到无效的校验和,它将忽略该数据包。正确的校验和将在 Bro 看到它后的某个点生成并插入到帧中,这对于您的目的来说为时已晚。
至少有三种方法可以让 Bro 不忽略数据包:
- 添加
-C标记为兄弟忽略校验和验证 - 设置
redef ignore_checksums = T;在$PREFIX/share/bro/site/local.bro也忽略校验和验证。更换$PREFIX与bro安装目录,经常/usr/local/bro. - 使用
ethtool --offload <int> rx off tx off禁用 NIC 上的校验和卸载因此首先会生成正确的校验和。更换<int>与您的界面名称。
关于security - Bro 不记录传出的 HTTP 请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36859896/