關(guān)于Zeek架構(gòu)
架構(gòu)上客叉,Zeek分為兩層
事件引擎
從libpcap拿數(shù)據(jù),轉(zhuǎn)換為事件褂痰。
例如將http請(qǐng)求的流量元數(shù)據(jù)轉(zhuǎn)換成http_request事件,包含IP地址症虑,端口脐恩,URI等的一個(gè)事件腳本解釋器
根據(jù)zeek自帶的或用戶添加的.zeek腳本處理事件,輸出notice和log侦讨。
Notice: Identifies specific activity that Zeek recognizes as potentially interesting, odd, or bad. In Zeek-speak, such activity is called a “notice”.
關(guān)于zeek語(yǔ)言
https://www.cnblogs.com/DF-Kyun/p/12354060.html
Zeek的腳本語(yǔ)言是事件驅(qū)動(dòng)的驶冒,zeek中的腳本編寫取決于zeek在處理網(wǎng)絡(luò)流量時(shí)生成的事件,通過(guò)這些事件更改數(shù)據(jù)結(jié)構(gòu)的狀態(tài)以及對(duì)所提供信息進(jìn)行決策韵卤。
Zeek將事件放入有序的事件隊(duì)列中骗污,以先到先得的方式處理,通過(guò)編寫腳本對(duì)事件執(zhí)行離散操作沈条,得到有用的輸出需忿。
關(guān)于zeek package
JA3
利用tls中Client Hello包中TLSVersion,Ciphers蜡歹,Extensions屋厘,EllipticCurves,EllipticCurvePointFormats字段組成字符串的MD5值月而,來(lái)生成JA3汗洒,TLS客戶端的指紋
利用tls中Server Hello包中TLSVersion,Cipher父款,Extensions字段組成字符串的MD5值溢谤,來(lái)生成JA3S,TLS服務(wù)端的指紋
HASSH
利用ssh中Key Exchange Init過(guò)程中協(xié)商的kex算法憨攒,加密算法世杀,Mac算法和壓縮算法通過(guò)MD5生成的指紋
