使用不同的系统？

• 在Fedora 25上安装Bro ID

介绍

Bro是一个强大的开放源码网络分析框架，Bro主要关注网络安全监控，Bro还提供一个通用的通信分析平台以及故障帮助和性能测试，它提供大量日志文件，包括大量结构化日志文件数据，这些数据适合于使用外部应用程序处理，这些日志包括：

• 所有HTTP会话及它请求的URL，key header，MIME类型和服务器响应。
• 带有回复的DNS请求。
• SMTP会话的关键内容，
• SSL证书，

Bro还提供了一系列的分析和检测任务，例如：

• 从HTTP会话中提取文件，
• 检测SSH暴力攻击，
• 通过与外部交互来检测恶意软件。
• 报告在网络上看到的软件的易受攻击版本，
• 检测SQL注入攻击，

Bro可以作为独立系统安装，也可以作为Bro Cluster的一部分安装，它连接一组系统以共同分析网络流量。在本教程中，我们将以独立模式从源代码安装Bro。

前提条件

• 有至少1GB内存的Ubuntu 16 .04实例。
• 非root sudo用户。

步骤1：更新系统

在开始安装之前，建议你更新你的系统。

sudo apt-get update
sudo apt-get upgrade

步骤2：安装依赖项

接下来，我们需要会所有需要的软件包安装到你的服务器上。

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

步骤3：安装BRO

接下来我们会从源代码安装Bro 2.5.2，访问Bro下载页面以确保你使用的是最新版本。

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

步骤4：配置Bro

首先要告诉Bro我们要监视哪个接口，这样做是为了编辑配置文件/nsm/bro/etc/node.cfg 。

sudo nano /nsm/bro/etc/node.cfg

查找interface=eth0行，并将它更改为你的网口。

 
interface=ens3

 

你可以使用以下命令找到正在使用的网口。

 
ifconfig

 

接下来，我们需要通过会你的电子邮件地址添加到/nsm/bro/etc/brotl，cfg告诉Bro在哪里发送日志电子邮件，。

sudo nano /nsm/bro/etc/broctl.cfg

查找MailTo行，并且添加你的电子邮件地址。

MailTo = sammy@example.com

步骤5：启动Bro

Bro使用BroControl启动，我们会需要安装。

sudo /nsm/bro/bin/broctl
install
exit

现在你可以开始了。

sudo /nsm/bro/bin/broctl deploy

接下来，我们将设置Bro在启动时将它添加到/etc/rc.local 。

sudo nano /etc /rc.local

添加以下行，然后关闭并保存文件。

/nsm/bro/bin/broctl start

接下来我们将添加一个cron作业。

 
crontab -e

 

添加以下内容以保持Bro 。

0-59/5 * * * * /nsm/bro/bin/broctl cron

步骤6 :测试Bro

我们会使用tail来实时查看conn.log文件。

tail -f /nsm/bro/logs/current/conn.log

当你打印到终端时，会看到Bro的输出。