在Ubuntu 16.04上,安装Bro

・5 分钟阅读

使用不同的系统?

介绍

Bro是一个强大的开放源码网络分析框架,Bro主要关注网络安全监控,Bro还提供一个通用的通信分析平台以及故障帮助和性能测试,它提供大量日志文件,包括大量结构化日志文件数据,这些数据适合于使用外部应用程序处理,这些日志包括:

  • 所有HTTP会话及它请求的URL,key header,MIME类型和服务器响应。
  • 带有回复的DNS请求。
  • SMTP会话的关键内容,
  • SSL证书,

Bro还提供了一系列的分析和检测任务,例如:

  • 从HTTP会话中提取文件,
  • 检测SSH暴力攻击,
  • 通过与外部交互来检测恶意软件。
  • 报告在网络上看到的软件的易受攻击版本,
  • 检测SQL注入攻击,

Bro可以作为独立系统安装,也可以作为Bro Cluster的一部分安装,它连接一组系统以共同分析网络流量。在本教程中,我们将以独立模式从源代码安装Bro。

前提条件

  • 有至少1GB内存的Ubuntu 16 .04实例。
  • 非root sudo用户。

步骤1:更新系统

在开始安装之前,建议你更新你的系统。


sudo apt-get update
sudo apt-get upgrade

步骤2:安装依赖项

接下来,我们需要会所有需要的软件包安装到你的服务器上。


sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

步骤3:安装BRO

接下来我们会从源代码安装Bro 2.5.2,访问Bro下载页面以确保你使用的是最新版本。


sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

步骤4:配置Bro

首先要告诉Bro我们要监视哪个接口,这样做是为了编辑配置文件/nsm/bro/etc/node.cfg


sudo nano /nsm/bro/etc/node.cfg

查找interface=eth0行,并将它更改为你的网口。

 
interface=ens3

 

你可以使用以下命令找到正在使用的网口。

 
ifconfig

 

接下来,我们需要通过会你的电子邮件地址添加到/nsm/bro/etc/brotl,cfg告诉Bro在哪里发送日志电子邮件,


sudo nano /nsm/bro/etc/broctl.cfg

查找MailTo行,并且添加你的电子邮件地址。


MailTo = sammy@example.com

步骤5:启动Bro

Bro使用BroControl启动,我们会需要安装。


sudo /nsm/bro/bin/broctl
install
exit

现在你可以开始了。


sudo /nsm/bro/bin/broctl deploy

接下来,我们将设置Bro在启动时将它添加到/etc/rc.local


sudo nano /etc /rc.local

添加以下行,然后关闭并保存文件。


/nsm/bro/bin/broctl start

接下来我们将添加一个cron作业。

 
crontab -e

 

添加以下内容以保持Bro 。


0-59/5 * * * * /nsm/bro/bin/broctl cron

步骤6 :测试Bro

我们会使用tail来实时查看conn.log文件。


tail -f /nsm/bro/logs/current/conn.log

当你打印到终端时,会看到Bro的输出。

Anne655 profile image