Bro не регистрирует исходящие HTTP-запросы

Вопрос новичка: я установил Bro на новую Ubuntu. Я бегу, братан, и создаю http-запросы из этой Ubuntu. братан регистрирует ответы, которые я получаю, но я не вижу никаких журналов ИСХОДЯЩИХ запросов. Когда я отправляю http-запросы на сервер apache, установленный на этом Ubunu, я вижу журнал поступающих запросов. Я отслеживаю правильную сетевую карту. Wireshark видит исходящий трафик. Что мне нужно сделать, чтобы получить журналы для

Bro 2.4.1 (tar.gz скачан с bro.org) Ubuntu 14.04 Использование прокси.

Спасибо


networking security network-traffic bro
person ooga chaka    schedule 26.04.2016    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Вероятно, ваша сетевая карта поддерживает разгрузку контрольной суммы, из-за чего Bro видит пакеты до того, как сетевая карта сделает доступной действительную контрольную сумму на пути выхода. Если Bro увидит неверную контрольную сумму, он проигнорирует пакет. Правильная контрольная сумма будет сгенерирована и вставлена ​​в кадр после того, как Bro увидит ее, что слишком поздно для ваших целей.

У Bro есть как минимум три способа не игнорировать пакеты:

  1. Добавление флага -C к bro, чтобы игнорировать проверку контрольной суммы
  2. Установка redef ignore_checksums = T; в $PREFIX/share/bro/site/local.bro для игнорирования проверки контрольной суммы. Замена $PREFIX каталогом установки bro, часто /usr/local/bro.
  3. Отключите разгрузку контрольной суммы на сетевом адаптере с помощью ethtool --offload <int> rx off tx off, чтобы с самого начала генерировались правильные контрольные суммы. Замените <int> на имя вашего интерфейса.

Дополнительные сведения см. на странице https://www.bro.org/documentation/faq.html#why-isn-t-bro-production-the-logs-i-expect-a-note-about-checksums

person jonschipp    schedule 26.04.2016
comment
@oogachaka, если этот ответ был полезен, отметьте его как правильный ответ - спасибо - person jonschipp; 24.05.2016