zeek中Site::local_nets,Site::private_address_space和Site::neighbor_nets的区别

最新推荐文章于 2025-01-20 10:54:40 发布
原创 最新推荐文章于 2025-01-20 10:54:40 发布 · 399 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ids #脚本语言

本文介绍了zeek中的全局变量Site::local_nets、Site::private_address_space和Site::neighbor_nets的区别。Site::local_nets存储配置文件中的本地IP地址,Site::private_address_space包含默认私有IP地址,不会因配置文件变化而改变。Site::neighbor_nets则用于存储运行时发现的需要作为本地IP处理的IP地址,方便其他脚本调用,提供了一个存放特定含义IP的约定全局变量。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Site::local_nets

本地IP地址的集合,其实是配置在zeek/bro的根目录下etc文件夹中的networks.cfg中的值
这是在{zeekpath}/etc/networks.cfg中配置

Site::private_address_space

一般默认是下面这些ip地址,改变networks.cfg不会改变这里的值
在这里插入图片描述

Site::neighbor_nets

文档里说这些是被认为邻居的ip地址,默认是空值.

其实我看这里是作为全局变量被设置的.某些脚本在运行中发现了一个IP,需要把它视作本地IP一类的IP地址,供之后或其他脚本处理.这时可以将该IP添加到Site::neighbor_nets供所有脚本调用.
这样做的好处是:
  • 有一个明确约定的全局变量,可以存放脚本运行中发现的特定含义的ip地址

脚本查看这几个变量的代码:

event zeek_init() &priority=-20
{
    local f = open_for_append("test");
    print f,"**************Site:
最低0.47元/天 解锁文章

200万优质内容无限畅学
配置公网私网用户通过非公网口的IP地址访问内部服务器Internet示例
2301_76769041的博客
10-20 896
该企业有两个公网IP地址,一个1.1.1.1/24部署在网关上行接口,另一个1.1.1.3/24预留给内部FTP/Web服务器使用。企业希望在路由器上配置NAT功能,使内网用户可以访问Internet,同时外网内网用户都可以通过预留的公网IP地址访问内部FTP/Web服务器。因此,可以使用该公网IP地址作为FTP/Web服务器映射后的公网IP地址。本例中,虽然内网用户FTP/Web服务器都在内网,但是为了防止内部服务器受内网用户的攻击,要求内网用户也通过预留的公网IP地址来访问FTP/Web服务器。
使用ZeekELK创建企业监视 一
热门推荐
点火三周的专栏
12-05 1万+
介绍 在本系列中,我将向您展示如何利用开源技术来构建自己的网络监视解决方案,使其足以部署在任何企业环境中!我们将使用的两种核心技术是Zeek(以前称为Bro)ELK。 其中,Zeek是一个开放源代码的网络监视框架,该框架根据网络旁路监听的数据创建警报事件,其本质是一个IDS。它在整个行业中都有使用,尤其是在网络异常领域,实际上,英国网络安全公司Darktrace使用Zeek作为其产品的关键组件。 该解决方案的计划是利用Zeek接入我们的网络,并将日志输入Elasticsearch,借助Elasti
The request client is not a secure context and the resource is in more-private address space `privat
qq_40652104的博客
08-02 1099
:Access-Control-Request-Private-Network: true ,解决问题。4. 给内网地址映射一个 https 的地址;不适用于我的项目场景。这样,我们貌似已经解决了这个问题。5. nginx 设置请求头(
The request client is not a secure context and the resource is in more-private address space `local`
zhoulcc的博客
11-13 3111
在使用Chrome过程中,偶遇Access to XMLHttpRequest at 'xx' from origin 'xx' has been blocked by CORS policy: The request client is not a secure context and the resource is in more-private address space `local`.的问题。 通过查阅资料得到解决,在这里记录一下解决办法。 1.打开chrome://flags/#block-
The request client is not a secure context and the resource is in more-priyate address spacelocal
老衲的少女心i~
11-17 222
当前用户打开的站点是http,但是在当前站点是一个angularvue共存的界面,vue里面引入的jq资源是https,在谷歌里面打开就报跨域,换成https打开,就没有这个问题。当然,这两个都需要用户手动更改,那么有没有不需要用户操作的方法尼?我还在研究中~有想法的伙伴可以留言,一起讨论呀!谷歌浏览器报错无法正常打开站点,非谷歌内核可以正常打开。
heisenberg:基于_sFoundation的Zeek WordPress入门主题
02-05
海森堡-Zeek入门主题 简约的WordPress入门主题,基于Foundation for Sites,版本^ 6.4.3。 先决条件 Node.js 9.xnpm 5.x 如何开始 将项目克隆或到themes目录(./wp-content/themes) 在整个主题中查找字符串/ ...
zeek-exporter:普罗米修斯出口商的Zeek
03-14
这是一个Zeek插件,它将实时跟踪性能运行状况指标,并运行可被抓取的Web服务器。 概述 安装 安装套件 $ zkg install zeek-exporter 配置绑定刮取 脚本将为每个节点分配唯一的端口。 默认情况下,它将绑定到...
Zeek脚本合集:bro_scripts-master精华汇总
Zeek通过一套高度可定制的脚本语言来实现这一功能,这些脚本在Zeek的上下文中被称为Bro Scripts。 Bro Scripts的特点主要包括: 1. 事件驱动:Zeek使用事件驱动模型来处理网络流量,这意味着脚本会在网络流量中特定...
zeek-sanitize:用于清理Zeek日志的Python脚本
04-01
$ gunzip -c /usr/local/zeek/logs/2021-03-31/conn.08\:53\:31-09\:00\:00.log.gz | zeek-cut | python sanitize.py somelongsaltvalue 2,4 1617195206.877965 CV2G122dMtlNo3Rgv3 b530c19c772a39493981420b5100e3...
新版浏览器出现的跨域问题及解决方案
Yushia的博客
10-13 1万+
新版浏览器安全因素导致页面“部分外链文件”加载失败
zeek集群简述
zz2230633069的博客
02-03 954
zeek集群简述
zeek操作笔记
BGK112358的专栏
01-06 737
zeek二开笔记
zeek入门
随便记记笔记
11-25 2236
zeek入门 安装及手册 参考:https://software.opensuse.org//download.html?project=security%3Azeek&package=zeek 建议选择添加软件源并手动安装 zeek通过apt(ubuntu软件包管理器)默认安装在/opt/zeek/目录,且不会添加进path,需要手动添加export PATH=$PATH:/opt/zeek/bin/ 手册:https://docs.zeek.org/en/current/ 简介 zeek:完全可
zeek学习(二)
成长之路
08-14 1265
zeek初识
zeek系列之:流量数据采集流量探针zeek安装部署
g5703129的博客
08-11 9916
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安全监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的全面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
chrome升级后报错The request client is not a secure context and the resource is in more-private address sp
weixin_43333483的博客
02-26 5816
has been blocked by CORS policy: The request client is not a secure context and the resource is in more-private address space `private
使用 Zeek 监控 DNS 异常并输出 JSON 日志的完整实践
最新发布
leader_9804的博客
01-20 747
在网络安全监测场景中,DNS是非常重要的切入点。常见攻击手段或信息泄露往往会通过DNS隧道、DNSoverHTTPS(DoH)等方式来规避传统防火墙或IDS的侦测。我们可以借助Zeek(原Bro)强大的流量分析能力,结合一些社区维护的插件(如detect-DoH),快速识别可疑或异常的DNS行为。本篇文章将基于官方ZeekDocker镜像进行介绍,从镜像拉取到容器配置,再到编写local.zeek文件以及启动容器的指令,都有详细示例。希望能为你的容器化部署节省大量时间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值