如何使用bro网络安全监控器监控视频和https流量

Question

我已经成功地在我的系统上配置了bro。操作系统是centos 7。我必须控制多媒体流量，比如youtube和一些像facebook这样的社交网站。当我使用facebook和youtube的时候，我启动了一些迷你的bro，但是在http日志文件nithir facebook中没有关于youtube的信息。至于我认为这是一个协议问题，因为facebook使用的是https而不是http，但我不知道为什么是youtube。

在设置了正确的界面后，我遵循了以下步骤。

[BroControl] > install

然后

[BroControl] > start

但我在http.log上没有找到任何youtube或facebook的信息。如何获取此类网站的流量信息？

Answer 1

问题是，您希望SSL加密的流量能够被神奇地解密并出现在您的http.log中。如果你再看一遍，你会发现YouTube也运行在HTTPS之上。

除非您正在做一些事情来拦截SSL/TLS连接并充当中间人，否则您不能期望能够看到内容。如果你看不到，兄弟也看不到。:)

如果您想验证您的配置是否正确，最好查看conn.log以验证连接是否正在发生。完成此操作后，在其他日志中搜索SSL值，我强烈怀疑您将看到正在查找UID证书数据。

Answer 2

有几件事浮现在脑海中

1) /usr/local/bro/etc/node.cfg的内容是什么？确保它是您希望流量通过span或分路器通过的接口。

2)运行tcpdump -i <interface>，其中接口来自问题1。

3)运行/usr/local/bro/bin/broctl diag查看是否有问题。

4)运行/usr/local/bro/bin/broctl status验证一切是否正常运行。

如果接口错误，解决方案可能就这么简单。