<h1 id="zeek--pcap">Zeek 导出 PCAP</h1>
对于一个网络流量处理的系统，将繁杂的网络流量处理成元数据后，保留原本会话的能力也比较重要。 
特别是在元数据解析出现问题（比如协议实现不规范），或是需要对部分特殊的流量进行留档取证时
Zeek 本身并不直接支持该功能，但可以通过预留的接口变相实现
涉及到原始流量的，主要有两类函数
<ul>
<li><code>dump_current_packet()</code>：将目前正在解析的 packet，以 PCAP 形式追加入文件</li>
<li><code>set_contents_file()</code>：设置一个文件用于存储接收到的流量二进制</li>
</ul>
同时，由于 Zeek 解析同一个文件时，每一次都会随机一个 id，在测试期间会生成大量相同内容的文件，因此这里选择使用 五元组 + 时间戳 进行哈希运算，作为文件名。
对于 <code>dump_current_packet()</code>，每解析一个 packet，都需要调用一次。在 tcp 协议中，对应的触发事件应该是 <code>tcp_packet()</code>；而在 udp 中，则要对请求和响应分别进行处理，对应 <code>udp_request()</code> 和 <code>udp_request()</code>
<code>set_contents_file()</code> 存储的是二进制数据，如果后续要进行处理，则需要对上行流和下行流进行区分（大部分情况下应该只保存 PCAP 就足够了）。同时，该函数只支持 TCP 数据，因此还需要在设置前判断协议类型。
<pre style="background-color:#fff">export {
 const extract_pcap = F &amp;redef;
 const extract_binary = F &amp;redef;
 const extract_directory = &#34;extract_files&#34; &amp;redef;

 redef record connection += {
 hash: string &amp;log &amp;optional;
 pcap_filename: string &amp;log &amp;optional;
 binary_filename_orig: string &amp;log &amp;optional;
 binary_filename_resp: string &amp;log &amp;optional;
 };

 function get_connection_hash(c:connection):string {
 if (!c?$hash) {
 c$hash = md5_hash(c$id, c$start_time);
 }
 return c$hash;
 }
}

function get_pcap_name(c: connection):string {
 if (!c?$pcap_filename) {
 local hash = get_connection_hash(c);
 c$pcap_filename = fmt(&#34;%s/%s.pcap&#34;, extract_directory, hash);
 }
 return c$pcap_filename;
}

function get_binary_name(c: connection, is_orig: bool):string {
 local hash = c$uid;
 if (is_orig) {
 if (!c?$binary_filename_orig) {
 hash = get_connection_hash(c);
 c$binary_filename_orig = fmt(&#34;%s/%s_orig.bin&#34;, extract_directory, hash);
 }
 return c$binary_filename_orig;
 } else {
 if (!c?$binary_filename_resp) {
 hash = get_connection_hash(c);
 c$binary_filename_resp = fmt(&#34;%s/%s_resp.bin&#34;, extract_directory, hash);
 }
 return c$binary_filename_resp;
 }
}

function extract_packet_pcap(c: connection) {
 if (extract_pcap) {
 local filename = get_pcap_name(c);
 dump_current_packet(filename);
 }
}

event tcp_packet(c: connection, is_orig: bool, flags: string, seq: count, ack: count, len: count, payload: string) {
 extract_packet_pcap(c);
}

event udp_request(u: connection) {
 extract_packet_pcap(u);
}

event udp_reply(u: connection) {
 extract_packet_pcap(u);
}

event new_connection(c: connection) {
 # only tcp support set_contents_file
 if (extract_binary &amp;&amp; get_conn_transport_proto(c$id) == tcp) {
 local filename_orig = get_binary_name(c, T);
 local f_orig = open_for_append(filename_orig);
 set_contents_file(c$id, CONTENTS_ORIG, f_orig);

 local filename_resp = get_binary_name(c, F);
 local f_resp = open_for_append(filename_resp);
 set_contents_file(c$id, CONTENTS_RESP, f_resp);
 } 
}
</pre>