چه ابزار فوق العاده ای zeek است!
این فکر من پس از تحقق تطبیق پذیری و پتانسیل ساز داشتم.
یک ابزار نظارت بر امنیت شبکه ، من برای انجام یک کار به این کار نیاز داشتم. قابلیت گسترش آن از طریق نصب بسته های تشخیص پروتکل همان چیزی است که بیشترین تأثیر را برای من قرار داده است ، اما بیایید دو قدم به عقب برداریم و از ابتدا شروع کنیم.
من از Zeek در تمشک خود استفاده می کنم (اوبونتو) ، متصل به درگاه سوئیچ (پیکربندی شده در حالت مانیتور) ، Zeek که برای تجزیه و تحلیل و ترافیک کاتالوگ کار می کند ، و یک پیشرو جهانی برای آسانتر کردن زندگی من برای تجزیه و تحلیل داده های پس از ضبط.
پس از شروع ضبط ترافیک ، بسته های ضبط شده به یک موتور رویداد ارسال می شوند که قادر به تبدیل جریان بسته ها به یک سری از رویدادها است که نشان دهنده فعالیت شبکه به صورت طبیعی است. به عنوان مثال ، یک رویداد از نوع HTTP به معادل آن تبدیل می شود تا آدرس های IP درگیر ، نسخه HTTP مورد استفاده و URI را درگیر کند. به همین ترتیب ، یک رویداد SSH شامل احراز هویت ، IP های درگیر و وضعیت است. تمام آنچه که استخراج و تبدیل شده است به لطف اسکریپت هایی است که قبلاً در Zeek گنجانده شده است ، که در حال حاضر اجازه می دهد تا اطلاعات زیادی را فقط با اساس ابزار بدست آورند. همه اینها با دقت در پرونده های .log برای خواندن قرار می گیرد.
آیا انواع پروتکل ها تشخیص داده می شوند؟
جواب مثبت است.
اما
اما اگر افزونه های مناسب را نصب کنیم ، که من در یک پست دیگر با جزئیات توضیح خواهم داد. من مجبور شدم یک کشف ارزیابی را انجام دهم تا لیستی از همه چیز در آن تقسیم بندی شبکه را تهیه کنم.
سپس با دانستن زمینه دامنه (شرکت کوچک) یعنی یک شرکت چاپ سه بعدی کوچک ، می توانستم لیستی را با دست تهیه کنم و سپس نتایج Zeek را در برابر لیست خود بررسی کنم.
اما این سرگرم کننده نبود !!!
بنابراین کاری که من کردم این بود که از آنها بخواهم که یک بندر را آینه دهند و از این رو Zeek را شروع کنند.
Zeek پرونده ای به نام Conn.Log را با تمام آدرس های IP ضبط شده در درجه اول ، که در سیاهههای مربوط/ جریان/ فهرست قرار دارد ، پر می کند.
ورود به سیستم اصلی: conn.log
این پرونده همه اتصالات شبکه مشاهده شده را ثبت می کند ، از جمله:
منبع IP (id.orig_h)
IP مقصد (id.resp_h)
درگاه ها ، پروتکل ، مدت زمان اتصال و داده های منتقل شده
ts uid id.orig_h id.resp_h proto service
1693401923.01 C5mAqR1T7kl 192.168.1.10 8.8.8 udp dns
این لیست کاملی از IP های مشاهده شده در نظارت بر شبکه Zeek را ارائه می دهد.
سپس از آنجا با دانستن زمینه و همچنین شناخت برخی از خدمات ، توانستم تحقیقاتی انجام دهم و قادر به نصب ماژول های دقیق (بسته های Zeek) باشم. یکی از این موارد ICSNPP-Modbus بود. با ساخت دور دوم لیست را تکمیل کردم و پارامترهایی را بررسی کردم که خوب شدم 90 ٪ پوشش
من از این تجربه چه آموختم؟
قطعاً ابزاری جدید برای مطالعه عمیق است. کمی بیشتر در مورد دنیای PLC.
معماری خود Zeek.
چگونه می توانید آزمایش کنید؟
مطمئناً اگر دانشی دارید که به شما امکان می دهد شبکه را به صورت قانونی رصد کنید ، می توانید هر چیزی را امتحان کنید و تا زمانی که می خواهید از آنجا که اسکن منفعل است ، خطر ابتلا به آسیب یا خرابی شبکه ها را ندارید.
در غیر این صورت اگر امکان داشتن زیرساخت های کوچک در خانه را ندارید ، همیشه می توانید بسته های PCAP را تجزیه و تحلیل کنید!
مثال کوچک:
یک PCAP مورد علاقه خود را بگیرید ، من این لیست را توصیه می کنم:
ics-pcap
run the command:
**zeek -r **
و در پایان روش پرونده های خود را با داده ها خواهید داشت.
چگونه می توان فایل ها را راحت تر تجزیه و تحلیل کرد؟
من از Splunk استفاده می کنم ، به من این امکان را می دهد تا تمام پرونده ها را در زیر یک فهرست جمع کنم و نمایش داده های SPL را برای تسهیل تجزیه و تحلیل راه اندازی کنم.
چند نکته
– با بررسی zeekctl تشخیصی انجام دهید
- هنگام نصب ماژول ها هرگز از تست ها پرش نکنید
- ZKG را به عنوان یک ماژول خارجی با APT نصب نکنید ، اما از آن در زیر پوشه -/zeek/bin استفاده کنید
- اگر خطایی دارید با من تماس بگیرید.
- خود را با صبر و شکیبایی مسلح کنید و به یاد داشته باشید که باید زیرساخت هایی را که با Zeek کار می کنید در نظر داشته باشید
