Bro

Описание Bro

Bro – это, прежде всего, монитор безопасности, который глубоко инспектирует весь трафик подключения на подозрительную активность. В целом, однако, Bro поддерживает широкий диапазон аналитических задач даже за пределами сферы безопасности, сюда относятся измерения производительности и помощь в решении проблем.

Bro поставляется со встроенной функциональностью ряда аналитических задач и задач по обнаружению, в том числе обнаружению вредоносных программ путем взаимодействия с внешними реестрами, отчёт об уязвимых версиях программного обеспечения и увиденного в сети, идентификацию о популярных веб-приложений, выявление брут-форса SSH, валидацию цепей сертификатов SSL и др.

Домашняя страница: https://bro.org/

Автор: Vern Paxson и Robin Sommer

Лицензия: Creative Commons Attribution-NonCommercial 3.0 Unported License

Справка по Bro

использование: 

/opt/bro/bin/bro [опции] [файл ...]
    <файл>                         | файл политики, или прочитать из стандартного ввода
    -a|--parse-only                | немедленной выйти после скриптов разбора
    -b|--bare-mode                 | не загружать скрипты из директории base/ 
    -d|--debug-policy              | активировать политику для отладки
    -e|--exec <код bro>            | увеличить загруженные политики переданным кодом
    -f|--filter <фильтр>           | фильтр tcpdump
    -g|--dump-config               | сбросить текущую конфигурацию в директорию .state
    -h|--help|-?                   | помощь по командной строке
    -i|--iface <интерфейс>         | читать с данного интерфейса
    -p|--prefix <префикс>          | добавить данный префикс к разрешению файла политики
    -r|--readfile <readfile>       | прочитать с данного tcpdump файла
    -s|--rulefile <rulefile>       | прочитать правила с данного файла
    -t|--tracefile <tracefile>     | активировать трассировку выполнения
    -w|--writefile <writefile>     | записать в данный tcpdump файл
    -v|--version                   | напечатать версию и выйти
    -x|--print-state <file.bst>    | напечатать содержимое файла состояния
    -z|--analyze <analysis>        | запустить анализ указанного файла политики
    -C|--no-checksums              | игнорировать контрольные суммы
    -F|--force-dns                 | принудительный DNS
    -I|--print-id <ID имя>         | распечатать данный ID
    -J|--set-seed <seed>           | установить случайный номер источника
    -K|--md5-hashkey <hashkey>     |  установить ключ для хеша с ключом MD5
    -N|--print-plugins             | напечатать доступные плагины и выйти (-NN для вербальности)
    -P|--prime-dns                 | главный DNS
    -Q|--time                      | напечатать сводку времени выполнения в стандартный вывод
    -R|--replay <events.bst>       | повторно воспроизвести события
    -S|--debug-rules               | включить отладку правил
    -T|--re-level <уровень>        | установить 'RE_level' для правил
    -U|--status-file <файл>        | записать статус процесса в файл
    -W|--watchdog                  | активировать таймер наблюдателя
    -X|--broxygen <cfgfile>        | сгенерировать документацию, основанную на конфигурационном файле
    --pseudo-realtime[=]  | включить псевдо-реальное время для оценки производительности (по умолчанию 1)
    --load-seeds <файл>            | загрузить источники из данного файла
    --save-seeds <файл>            | сохранить источники в данный файл
    $BROPATH                       | путь поиска файлов (.:/opt/bro/share/bro:/opt/bro/share/bro/policy:/opt/bro/share/bro/site)
    $BRO_PLUGIN_PATH               | путь для поиска плагинов (/opt/bro/lib/bro/plugins)
    $BRO_PLUGIN_ACTIVATE           | плагины всегда активировать ()
    $BRO_PREFIXES                  | список префиксов ()
    $BRO_DNS_FAKE                  | отключить поиск DNS (off)
    $BRO_SEED_FILE                 | файл из которого загружать источники (не установлен)
    $BRO_LOG_SUFFIX                | расширение файла логов ASCII (.log)
    $BRO_PROFILER_FILE             | Файл вывода для статистики выполнения скрипта (не установлен)
    $BRO_DISABLE_BROXYGEN          | Отключить поддержку документации Broxygen (не установлен)

Руководство по Bro

Страница man отсутствует.

Примеры запуска Bro

 

Установка Bro

Установка в Kali Linux

echo 'deb http://download.opensuse.org/repositories/network:/bro/Debian_8.0/ /' >> /etc/apt/sources.list.d/bro.list
apt-get update
apt-get install bro

Бинарные файлы для других ОС: https://www.bro.org/download/packages.html

Скриншоты Bro

Это утилита командной строки.

Инструкции по Bro

Ссылки на инструкции будут добавлены позже.

Рекомендуемые статьи: