Zeek 导出 PCAP
对于一个网络流量处理的系统,将繁杂的网络流量处理成元数据后,保留原本会话的能力也比较重要。
特别是在元数据解析出现问题(比如协议实现不规范),或是需要对部分特殊的流量进行留档取证时
Zeek 本身并不直接支持该功能,但可以通过预留的接口变相实现
涉及到原始流量的,主要有两类函数
dump_current_packet()
:将目前正在解析的 packet,以 PCAP 形式追加入文件set_contents_file()
:设置一个文件用于存储接收到的流量二进制
同时,由于 Zeek 解析同一个文件时,每一次都会随机一个 id,在测试期间会生成大量相同内容的文件,因此这里选择使用 五元组 + 时间戳 进行哈希运算,作为文件名。
对于 dump_current_packet()
,每解析一个 packet,都需要调用一次。在 tcp 协议中,对应的触发事件应该是 tcp_packet()
;而在 udp 中,则要对请求和响应分别进行处理,对应 udp_request()
和 udp_request()
set_contents_file()
存储的是二进制数据,如果后续要进行处理,则需要对上行流和下行流进行区分(大部分情况下应该只保存 PCAP 就足够了)。同时,该函数只支持 TCP 数据,因此还需要在设置前判断协议类型。
export { const extract_pcap = F &redef; const extract_binary = F &redef; const extract_directory = "extract_files" &redef; redef record connection += { hash: string &log &optional; pcap_filename: string &log &optional; binary_filename_orig: string &log &optional; binary_filename_resp: string &log &optional; }; function get_connection_hash(c:connection):string { if (!c?$hash) { c$hash = md5_hash(c$id, c$start_time); } return c$hash; } } function get_pcap_name(c: connection):string { if (!c?$pcap_filename) { local hash = get_connection_hash(c); c$pcap_filename = fmt("%s/%s.pcap", extract_directory, hash); } return c$pcap_filename; } function get_binary_name(c: connection, is_orig: bool):string { local hash = c$uid; if (is_orig) { if (!c?$binary_filename_orig) { hash = get_connection_hash(c); c$binary_filename_orig = fmt("%s/%s_orig.bin", extract_directory, hash); } return c$binary_filename_orig; } else { if (!c?$binary_filename_resp) { hash = get_connection_hash(c); c$binary_filename_resp = fmt("%s/%s_resp.bin", extract_directory, hash); } return c$binary_filename_resp; } } function extract_packet_pcap(c: connection) { if (extract_pcap) { local filename = get_pcap_name(c); dump_current_packet(filename); } } event tcp_packet(c: connection, is_orig: bool, flags: string, seq: count, ack: count, len: count, payload: string) { extract_packet_pcap(c); } event udp_request(u: connection) { extract_packet_pcap(u); } event udp_reply(u: connection) { extract_packet_pcap(u); } event new_connection(c: connection) { # only tcp support set_contents_file if (extract_binary && get_conn_transport_proto(c$id) == tcp) { local filename_orig = get_binary_name(c, T); local f_orig = open_for_append(filename_orig); set_contents_file(c$id, CONTENTS_ORIG, f_orig); local filename_resp = get_binary_name(c, F); local f_resp = open_for_append(filename_resp); set_contents_file(c$id, CONTENTS_RESP, f_resp); } }