Brotherを使用してhttpsトラフィックのメタデータを取得する方法

Question

次のtcpdumコマンドを使用してデータをキャプチャしました。

tcpdump -i eth1 -w eth1_data.pcap -X 

その後、私はBroを使用してeth1_data.pcapファイルを解析するために以下のコマンドを実行しています。

bro -r eth1_data.pcap local "Site::local_nets += { 10.0.0.0/8 }" 

私はBro 2.4.1バージョンを使用しています。私はコマンドで上記以外の設定を変更していません。上記のコマンド実行後に生成されるファイルはたくさんあります。今私はいくつかの社会的なウェブサイトによって転送されたバイトを見つけなければなりません。 htts：//www.twitter.com。 http.logに上記のサイトに関する正しい情報が見つかりませんでした。

httpsサイトのコンテンツは暗号化されていますが、メタデータは抽出できます（app_stats.logにも情報があります）。

UIDをssl.logから選択してから、resp_ip_bytesが同じuidでconn.logから転送されていることがわかりますか？

また、httpsサイトのメタデータ情報を取得する別の方法はありますか？

Answer 1

あなたはすでに正しい道にいるようです。

resp_ip_bytesを使用する際に注意する1つの小さな注意点は、そのサイズには各パケットのIPとTCPヘッダーが含まれることです。また、その番号にはTCP再構成が含まれていないため、新しいデータが送信されていなくてもパケットの再送信により数が増加します。コンテンツ本文のサイズを検索する場合は、resp_bytesフィールドを使用する必要がありますが、SSL/TLSフレーミングとそのカウントの内容がすべて圧縮されていることに注意してください。

もう少し注意したいのは、メンテナンスの欠如とアプローチの一般的な問題のために、app_statsスクリプトを2.5から削除したことです。

特にお探しのものがありますか？