即使在加载了脚本之后，Zeek也不会存储文件。我遗漏了什么？

Question

我试图配置Zeek，以便将文件(每个文件)存储在磁盘上，但没有成功。我正在使用的操作系统: Debian 10。

我到目前为止所做的：

• 我已经安装了这个模块：https://github.com/hosom/file-extraction (即使在跟踪这个站点https://www.ericooi.com/zeekurity-zen-part-vi-zeek-file-analysis-framework之后，我也无法让它工作)。
• 我已经加载了框架/文件/解压缩-所有文件脚本。

在检查loaded_scripts.log之后，我可以看到脚本已经加载。

我是Zeek的初学者，我想学习如何使zeek能够保存文件(即遍历网络)并存储在磁盘上。正在存储的唯一类型的文件: HTTP和SSL。

我肯定我犯了很多错误，但我找不到正确的方法。

编辑

我正在使用的Zeek版本: zeek版本4.1.0dev.545。

我在处理交通问题。我还没有尝试过任何关于pcap的方法，但是我会尝试一下您对"zeek -r the.pcap the.pcap“的建议

在Zeek服务器上，我安装了一个FTP和一个HTTP服务器(以便测试)。在html文件夹中，我创建了一个pdf文件(以便以后可以下载)。我已经放置了两个文件(一个pdf和一个纯文本文件)，我下载了这个pdf文件(使用本地网络中另一台计算机上的浏览器)。因此，我可以看到(查看ftp.log和http.log)我提到的所有文件，但是这些文件没有存储在磁盘上。我的疑问是:它们是否应该被Zeek储存？

Answer 1

在通过Zeek运行通信时，一个常见的问题是数据包可能有无效的校验和。在默认情况下，Zeek跳过这样的数据包，因此最终的结果是丢失了用户期望存在的日志/文件/工件。这些无效校验和通常是由校验和卸载引起的，其中数据包捕获过程在NIC有机会修复校验和之前捕获发送的数据包。

Zeek通常在遇到无效校验和时发出警告--在stderr或reporter.log中查找类似以下内容：

您的跟踪文件可能具有无效的TCP校验和，很可能来自NIC校验和卸载。默认情况下，带有无效校验和的数据包将被Zeek丢弃，除非使用-C命令行选项或切换“ignore_checksums”变量。

(这来自find-checksum-offloading.zeek，它包含在Zeek的默认配置中。)

你在这里有很多选择。您可以：

• 使用-C运行Zeek，如下所示
• 在脚本中使用redef ignore_checksums=T; (通常是local.zeek)
• 在命令行添加redef：zeek -r the.pcap ... ignore_checksums=T
• 修正pcap中的校验和，例如使用tcprewrite -C -i input.pcap -o fixed.pcap (tcprewrite附带tcpreplay) --如果其他人也使用您的pcap，这是最好的。