” Bro ” ابزاری قدرتمند برای آنالیز شبکه

Bro NSM

به عنوان یک ادمین شبکه یا حتی کسی که به حوزه ی شبکه علاقه داره حتما در رابطه با حملات DDoS و Mirai شنیدید.
ابزارهای Open Source زیادی وجود دارن که میتونید از اون ها به عنوان IDS در ساختار شبکتون استفاده کنید که یکی از اون ها ابزار قدرتمند و رایگانی هست به اسم  Bro Network Security Monitor.

Bro در واقع یک طرح آکادمیک/صنعتی هست که نتیجه ی سال ها تلاش و تحقیق بوده و تونسته بسیار موفق عمل کنه. چیزی که Bro رو از سایر IDS های رایج از دید کارشناسان مستثنی میکنه اینه که Bro در صورت توسعه قابلیت تولید طیف وسیعی از داده های NSM رو داره. داده های NSM به صورت کلی در این شش دسته قرار میگیرند:

  • Alert: داده هایی که به نوعی اعلام یک هشدار هستن و متناسب با تشخیص نرم افزار این داده ها یا فقط باید شناسایی بشن و یا علاوه بر شناسایی، بلاک هم خواهند شد مثلا ردیابی login شدن یک کاربر.
  • Statistical: داده هایی که شرح یا توصیفی از نوع ترافیک هستن مثلا داده های یک پروتکل خاص یا یک وندور خاص.
  • Session: داده هایی که در رابطه با ارتباط هاست ها هستن. مثلا هاست A با هاست B در روز شنبه به مدت یک ساعت ارتباط برقرار کرده و ۱۲۳۴ بایت هم تبادل اطلاعات داشتن.
  • Full Content: تمام پکت هایی که روی یک لینک در حال ارسال هستن (بدون هیچ فیلتر خاصی)
  • Extracted Content: داده های محتوایی مثلا داده های مربوط به یک صفحه وب یا یک ویدیو یا …
  • Transaction: داده ها یا در واقع لاگ هایی که بر اساس request و reply بین نودها تولید میشن.

که بر طبق مستندات، اکثر این داده ها توسط Bro قابل تولید هستن.

این نرم افزار برای مدیریت  intelligence data ها (یا intelligence feed ها) از intel Framework استفاده میکنه. در پست زیر سعی شده تا خیلی ساده نحوه ی نصب Bro، اضافه کردن intel critical stack به Bro برای مدیریت intelligence feed ها و هم چنین اضافه کردن ELK stack برای تحلیل لاگ هایی  که از طریق مانیتور ترافیک شبکه به دست میان توضیح داده بشه.

https://blog.apnic.net/2017/03/13/analyze-threat-intel-bro/

نویسنده: مینا رضائی

محقق و همواره در حال یادگیری، عاشق نقاشی :)
(مسئولیت و صحت و سقم کلیه ی مطالب منتشر شده از جانب من تنها بر عهده ی خودم می باشد)

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *