Bro rileva il traffico su porte non standard. A differenza di altri strumenti, ha la nozione di traffico in entrata e in uscita una volta che gli dici lo spazio degli indirizzi della tua rete:
bro -r trace.pcap local "Site::local_nets += { 1.2.3.0/24, 5.6.7.0/24 }"
Consulta la guida introduttiva per i dettagli su come iniziare. Esecuzione di Bro con gli argomenti predefiniti, cioè.
bro -i <interface>
crea già una varietà di file di registro nella directory corrente. Il log di connessione ( conn.log
), contiene per esempio voci lungo le linee di:
# ts uid orig_h orig_p resp_h resp_p
1311627961.8 HSH4uV8KVJg 192.168.1.100 52303 192.150.187.43 80
Questi sono solo un sottoinsieme delle colonne disponibili. I file di registro sono progettati in modo da poterli facilmente elaborare con awk
e amici. Ad esempio, per vedere la ripartizione della connessione per servizio:
bro-cut service < conn.log | sort | uniq -c
Questa e altre analisi rapide ti diranno velocemente cosa sta succedendo nella tua rete.