参考文章:https://mp.weixin.qq.com/s?__biz=MjM5NjQ4MjYwMQ==&mid=2664609207&idx=3&sn=4a0331832b280f2f58644030a8771abe&chksm=bdce8ef18ab907e7c8b2cc6687ec69521cb196de90088d45930e60118eb15cff3c3d00fcd4b5&mpshare=1&scene=23&srcid=0731vL3S0qHhS7x5etTug6pm#rd
Bro 是一个开源的网络分析框架,侧重于网络安全监控。
Bro 的功能包括:
Bro 的脚本语言支持针对站点定制监控策略
针对高性能网络
分析器支持许多协议,可以在应用层面实现高级语义分析
它保留了其所监控的网络的丰富的应用层统计信息
Bro 能够与其他应用程序接口实时地交换信息
它的日志全面地记录了一切信息,并提供网络活动的高级存档
apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev #安装依赖关系
wget -c http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget -c http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
gzip -d GeoLiteCity.dat.gz
gzip -d GeoLiteCityv6.dat.gz
mvGeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat
mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
#安装定位 IP 地理位置的 GeoIP 数据库
git clone --recursive git://git.bro.org/bro #获取bro
cd bro
./configure
make && make install
Bro 的配置文件位于 /usr/local/bro/etc 目录下。
node.cfg,用于配置要监视的单个节点(或多个节点)。
broctl.cfg,BroControl 的配置文件。
networks.cgf,包含一个使用 CIDR 标记法表示的网络列表。
broctl.cfg
$EDITOR /usr/local/bro/etc/broctl.cfg #配置邮件设置
# Recipient address for emails sent out by Bro and BroControl
MailTo = admin@example.com
node.cfg
配置监视的节点:
$EDITOR /usr/local/bro/etc/node.cfg
[bro]
type=standalone
host=localhost
interface=eth0
inferface的值是本机公网网口
network.cfg
配置监视节点的网络
$EDITOR /usr/local/bro/etc/networks.cfg
# List of local networks in CIDR notation, optionally followed by a
# descriptive tag.
# For example, "10.0.0.0/8" or "fe80::/64" are valid prefixes.
10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space
#删除这三条或者注释掉这三条内容,然后输入服务器的公用和专用 IP 空间,格式如下:
X.X.X.X/X Public IP space
X.X.X.X/X Private IP space
/usr/local/bro/bin/broctl #启动bro
/usr/local/bro/bin/broctl status #查看运行状态
