Bro是一个开源网络分析框架和安全监控应用程序。它将OSSEC和osquery的一些最佳功能集成到一个包中。
Bro可以执行基于签名和行为的分析和检测,但它所做的大部分工作是基于行为的分析和检测。Bro的功能列表中包括以下功能:
Bro可以从源代码或通过包管理器安装。如果在编译之前安装了地理定位库,那么从源代码安装就更复杂,但它是唯一支持IP地理定位的方法。
安装Bro可以为系统提供诸如bro
和broctl
之类的附加命令。bro可用于分析跟踪文件以及实时流量分析;broctl
是用于管理独立或分布式Bro安装的交互式shell和命令行实用程序。
在本文中,您将在独立模式下从Ubuntu 16.04上的源代码安装Bro。
要完成本文,您需要具备以下条件:
在从源代码安装Bro之前,需要安装其依赖项。
首先,更新包数据库。在安装软件包之前未能执行此操作可能导致软件包管理器错误。
$ sudo apt-get update
Bro的依赖关系包括一些库和工具,像Libpcap,OpenSSL,和BIND8。BroControl还需要Python 2.6或更高版本。因为我们从源代码构建Bro,所以我们需要一些额外的依赖项,比如CMake,SWIG,Bison和C/ C ++编译器。
您可以一次安装所有必需的依赖项:
$ sudo apt-get install bison cmake flex g++ gdb make libmagic-dev libpcap-dev libgeoip-dev libssl-dev python-dev swig2.0 zlib1g-dev
安装完成后,下一步是下载Bro将用于IP地理定位的数据库。
在这里,我们将下载一个GeoIP数据库,Bro将依赖于该地址进行IP地址定位。我们将下载两个包含IPv4和IPv6数据库的压缩文件,对它们进行解压缩,然后将它们移动到/usr/share/GeoIP
目录中。
下载IPv4和IPv6数据库。
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
解压缩这两个文件,这将在您的工作目录中放置两个名为GeoLiteCity.dat
和GeoLiteCityv6.dat
的文件。
$ gzip -d GeoLiteCity.dat.gz
$ gzip -d GeoLiteCityv6.dat.gz
然后进入相应的目录,在此过程中重命名它们。
$ sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat
$ sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
有了GeoIP数据库,我们可以在下一步安装Bro本身。
要从源代码安装Bro,我们首先必须从GitHub克隆存储库。
默认情况下,Git已经安装在Ubuntu上,因此您可以使用以下命令克隆存储库。这些文件将被放入一个名为bro
的目录中。
$ git clone --recursive git://git.bro.org/bro
切换到项目的目录。
$ cd bro
运行Bro的配置,这应该不到一分钟。
$ ./configure
然后用make来构建程序。这可能需要20分钟,具体取决于您的服务器。
$ make
在运行时,您会在大多数输出行的开头看到完成百分比。
完成后,安装Bro,这应该不到一分钟。
$ sudo make install
Bro将安装在/usr/local/bro
目录中。
现在您需要将/usr/local/bro/bin
目录添加到您的$PATH
。为了确保它在全局可用,最好的方法是在/etc/profile.d
目录下的文件中指定路径。我们称该文件为3rd-party.sh
。
使用您喜欢的文本编辑器创建并打开3rd-party.sh
。
$ sudo nano /etc/profile.d/3rd-party.sh
将以下行复制并粘贴到其中。第一行是解释性注释,第二行将确保/usr/local/bro/bin
添加到系统上任何用户的路径。
/etc/profile.d/3rd-party.sh
# Expand PATH to include the path to Bro's binaries
export PATH=$PATH:/usr/local/bro/bin
保存并关闭文件,然后用source激活更改。
$ source /etc/profile.d/3rd-party.sh
但是,原设置中的环境数据往往会持续存在,因此您可以另外注销并重新登录以确保路径正确加载。
现在已经安装了Bro,我们需要对其进行一些配置更改才能正常运行。
在此步骤中,我们将自定义一些文件以确保Bro正常工作。所有文件都位于/usr/local/bro/etc
目录中,它们是:
node.cfg
,用于配置要监控的节点。networks.cfg
,其中包含节点本地的CIDR表示法网络列表。broctl.cfg
,这是用于邮件,日志记录和其他设置的全局BroControl配置文件。让我们看看每个文件中需要修改的内容。
要配置Bro将监视的节点,我们需要修改node.cfg
文件。
初始情况下,Bro配置为在独立模式下运行。因为这是独立安装,所以您不需要修改此文件,但最好检查值是否正确。
打开文件进行编辑。
$ sudo nano /usr/local/bro/etc/node.cfg
在bro部分下,查找interface
参数。它在默认情况下是etho0
,这应该与您的Ubuntu 16.04服务器的公共接口匹配。如果不是,请确保更新它。
/usr/local/bro/etc/node.cfg
[bro]
type=standalone
host=localhost
interface=eth0
完成后保存并关闭文件。我们将配置该节点所属的专用网络。
您可以在networks.cfg
文件中配置节点所属的IP网络(即您希望监视的任何服务器接口的IP网络)。
开始时,请打开该文件。
$ sudo nano /usr/local/bro/etc/networks.cfg
默认情况下,该文件附带已配置的三个专用IP块,作为您需要如何指定的示例。
/usr/local/bro/etc/networks.cfg
# List of local networks in CIDR notation, optionally followed by a
# descriptive tag.
# For example, "10.0.0.0/8" or "fe80::/64" are valid prefixes.
10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space
删除现有的三个条目,然后添加自己的条目。您可以使用ip addr show
检查服务器接口的网络地址。您的最终版本networks.cfg
应该类似于以下内容,您的网络地址替换为:
Example/usr/local/bro/etc/networks.cfg
203.0.113.0/24 Public IP space
198.51.100.0/24 Private IP space
完成编辑后保存并关闭文件。接下来我们将配置邮件和日志记录设置。
您可以在broctl.cfg
文件中配置BroControl
如何处理其电子邮件和日志记录职责。大多数默认值不需要更改。 您只需指定目标电子邮件地址即可。
打开文件进行编辑。
$ sudo nano /usr/local/bro/etc/broctl.cfg
在文件顶部的“邮件选项”部分下,查找MailTo参数并将其更改为您控制的有效电子邮件地址。所有Bro电子邮件警报都将发送到该地址。
/usr/local/bro/etc/broctl.cfg
. . .
# Mail Options
# Recipient address for all emails sent out by Bro and BroControl.
MailTo = sammy@example.com
. . .
完成编辑后保存并关闭文件。
这是Bro需要的所有配置,所以现在您可以使用BroControl来启动和管理Bro。
BroControl用于管理Bro安装 -启动和停止服务,部署Bro以及执行其他管理任务。它既是命令行工具又是交互式shell。
如果broctl调用sudo /usr/local/bro/bin/broctl
,它将启动交互式shell:
Welcome to BroControl 1.5-21
Type "help" for help.
[BroControl] >
您可以使用exit
命令退出交互式shell 。
在shell中,您可以运行任何有效的Bro命令。也可以直接从命令行运行相同的命令,而无需调用shell。在命令行运行命令通常是一种更有用的方法,因为它允许您将broctl命令的输出通过管道传输到标准Linux命令中。对于本步的其余部分,我们将在命令行调用broctl
命令。
首先,使用broctl deploy
启动Bro并确保BroControl和Bro所需的文件根据第四步中的配置进行更新。
$ sudo /usr/local/bro/bin/broctl deploy
每当对配置文件或脚本进行更改时,也应该运行此命令。
注意:如果Bro未启动,则命令的输出将提示原因。例如,即使您安装了MTA,也可能会看到以下错误消息:
bro not running (was crashed)
Error: error occurred while trying to send mail: send-mail: SENDMAIL-NOTFOUND not found
starting ...
starting bro ...
解决方案是编辑BroControl配置文件,/usr/local/bro/etc/broctl.cfg
并在“邮件选项”部分的末尾添加Sendmail条目:
/usr/local/bro/etc/broctl.cfg
. . .
# Added for Sendmail
SendMail = /usr/sbin/sendmail
###############################################
# Logging Options
. . .
然后重新部署Bro sudo /usr/local/bro/bin/broctl deploy
。
您可以使用status命令检查Bro的状态。
$ sudo /usr/local/bro/bin/broctl status
输出将如下所示。除running之外,状态也可以是crashed或stopped。
Output
Name Type Host Status Pid Started
bro standalone localhost running 6807 12 Apr 05:42:50
如果需要重启Bro,可以使用sudo /usr/local/bro/bin/broctl restart
。
注意:
broctl restart
和broctl deploy
不一样。更改配置设置和/或修改脚本后调用后者;当您想要停止并重新启动整个服务时,请调用前者。
Bro没有Systemd服务描述符文件,但它带有一个cron脚本,如果启用它,它将重新启动Bro,如果它崩溃并执行其他任务,如检查足够的磁盘空间和删除过期的日志文件。
Bro的cron
命令是初始情况下的,但您需要安装实际触发脚本的cron作业。您需要先在/etc/cron.d
中为Bro添加一个cron包文件。遵循约定,我们将调用该文件,因此创建并打开它。
$ sudo nano /etc/cron.d/bro
接下来显示复制和粘贴到文件中的条目。它将每五分钟运行一次Bro的cron。如果它检测到Bro已经崩溃,它将重新启动它。
/etc/cron.d/bro
*/5 * * * * root /usr/local/bro/bin/broctl cron
如果您希望更频繁地运行,可以在上面的命令中进行更改5。
完成后保存并关闭文件。
激活cron作业后,您应该收到一封电子邮件,说明已在/ usr / local / bro / logs /stats
中创建了stats文件的目录。请注意,Bro必须实际崩溃(即毫不客气地停止)才能使其正常工作。如果你使用BroControl的stop
慢慢地停止自己,那将无法工作。
要测试它是否有效,您必须重新启动服务器或终止其中一个Bro进程。如果您去重新启动路由,Bro将在服务器完成重新启动过程五分钟后重新启动。要使用其他方法,首先要获取Bro的进程ID之一。
$ ps aux | grep bro
然后结束其中一个进程。
$ sudo kill -9 process_id
如果您使用以下方法检查状态:
$ sudo /usr/local/bro/bin/broctl status
输出将显示它已崩溃。
Name Type Host Status Pid Started
bro standalone localhost crashed
几分钟后调用相同的命令,输出将显示它再次运行。
在Bro完全工作的情况下,您应该每小时获得在界面上捕获的有趣活动的摘要电子邮件。如果它崩溃并重新启动,您将收到一封电子邮件,说明它在崩溃后启动。在接下来的最后一步中,让我们看一下其他几个主要的Bro实用程序。
bro
,bro-cut
和Bro Policy
脚本bro
和bro-cut
是Bro带来的另外两个主要命令。使用bro
,您可以捕获实时流量并分析使用其他工具捕获的跟踪文件。bro-cut
是一个自定义工具,用于从Bro日志中读取和获取数据。
用于捕获带有bro的实时流量的命令的格式为sudo / usr / local / bro / bin / bro -i eth0 file...
。至少,您必须指定应从哪个接口捕获来自.file...
的流量。.file...
指的是定义Bro处理的策略脚本。您不必指定一个或多个脚本,因此该命令也可以看起来像sudo / usr / local / bro / bin/ bro -i eth0
。
注意:Bro用于运行的脚本位于
/usr/local/bro/share/bro
目录中。特定于站点的脚本位于/usr/local/bro/share/bro/site/
目录中。请确保不要自定义除/usr/local/bro/share/bro/site/local.bro
之外的此目录中的文件,因为在升级或重新安装Bro时,您的更改将被覆盖。
因为bro
从单个捕获会话到工作目录创建了许多文件,所以最好在为该捕获会话创建的目录中调用bro捕获命令。例如,以下内容显示了在实时流量捕获会话期间创建的文件的长列表(ls-l
)。
total 152
-rw-r--r-- 1 root root 277 Apr 14 09:20 capture_loss.log
-rw-r--r-- 1 root root 4711 Apr 14 09:20 conn.log
-rw-r--r-- 1 root root 2614 Apr 14 04:49 dns.log
-rw-r--r-- 1 root root 25168 Apr 14 09:20 loaded_scripts.log
-rw-r--r-- 1 root root 253 Apr 14 09:20 packet_filter.log
-rw-r--r-- 1 root root 686 Apr 14 09:20 reporter.log
-rw-r--r-- 1 root root 708 Apr 14 04:49 ssh.log
-rw-r--r-- 1 root root 793 Apr 14 09:20 stats.log
-rw-r--r-- 1 root root 373 Apr 14 09:20 weird.log
您现在可以尝试运行其中一个捕获命令。让它运行一点后,用于CTRL+C
终止bro
捕获会话。您可以使用类似cat ssh.log | /usr/local/bro/bin/bro-cut -C -d
的命令读取每个bro-cut
。
本文向您介绍了Bro以及如何从源代码以独立方式安装它。您还学习了如何从MaxMind安装IPv4和IPv6 GeoIP数据库,Bro用于将IP地址定位到城市级别。对于这种独立的安装模式,您还学习了如何修改其配置文件的相关方面,用broctrl
管理它,用bro捕获实时流量以及bro-cut
输出和读取生成的日志文件。
参考文献:《How to Install Bro on Ubuntu 16.04》
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。