在Ubuntu 16.04上,安装Bro
Anne655
・5 分钟阅读
使用不同的系统?
介绍
Bro是一个强大的开放源码网络分析框架,Bro主要关注网络安全监控,Bro还提供一个通用的通信分析平台以及故障帮助和性能测试,它提供大量日志文件,包括大量结构化日志文件数据,这些数据适合于使用外部应用程序处理,这些日志包括:
- 所有HTTP会话及它请求的URL,key header,MIME类型和服务器响应。
- 带有回复的DNS请求。
- SMTP会话的关键内容,
- SSL证书,
Bro还提供了一系列的分析和检测任务,例如:
- 从HTTP会话中提取文件,
- 检测SSH暴力攻击,
- 通过与外部交互来检测恶意软件。
- 报告在网络上看到的软件的易受攻击版本,
- 检测SQL注入攻击,
Bro可以作为独立系统安装,也可以作为Bro Cluster的一部分安装,它连接一组系统以共同分析网络流量。在本教程中,我们将以独立模式从源代码安装Bro。
前提条件
- 有至少1GB内存的Ubuntu 16 .04实例。
- 非root sudo用户。
步骤1:更新系统
在开始安装之前,建议你更新你的系统。
sudo apt-get update
sudo apt-get upgrade
步骤2:安装依赖项
接下来,我们需要会所有需要的软件包安装到你的服务器上。
sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin
步骤3:安装BRO
接下来我们会从源代码安装Bro 2.5.2,访问Bro下载页面以确保你使用的是最新版本。
sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH
步骤4:配置Bro
首先要告诉Bro我们要监视哪个接口,这样做是为了编辑配置文件/nsm/bro/etc/node.cfg
。
sudo nano /nsm/bro/etc/node.cfg
查找interface=eth0行,并将它更改为你的网口。
interface=ens3
你可以使用以下命令找到正在使用的网口。
ifconfig
接下来,我们需要通过会你的电子邮件地址添加到/nsm/bro/etc/brotl,cfg告诉Bro在哪里发送日志电子邮件,
。
sudo nano /nsm/bro/etc/broctl.cfg
查找MailTo
行,并且添加你的电子邮件地址。
MailTo = sammy@example.com
步骤5:启动Bro
Bro使用BroControl
启动,我们会需要安装。
sudo /nsm/bro/bin/broctl
install
exit
现在你可以开始了。
sudo /nsm/bro/bin/broctl deploy
接下来,我们将设置Bro在启动时将它添加到/etc/rc.local
。
sudo nano /etc /rc.local
添加以下行,然后关闭并保存文件。
/nsm/bro/bin/broctl start
接下来我们将添加一个cron作业。
crontab -e
添加以下内容以保持Bro 。
0-59/5 * * * * /nsm/bro/bin/broctl cron
步骤6 :测试Bro
我们会使用tail
来实时查看conn.log
文件。
tail -f /nsm/bro/logs/current/conn.log
当你打印到终端时,会看到Bro的输出。