ubuntu：Bro 网络分析框架

参考文章：https://mp.weixin.qq.com/s?__biz=MjM5NjQ4MjYwMQ==&mid=2664609207&idx=3&sn=4a0331832b280f2f58644030a8771abe&chksm=bdce8ef18ab907e7c8b2cc6687ec69521cb196de90088d45930e60118eb15cff3c3d00fcd4b5&mpshare=1&scene=23&srcid=0731vL3S0qHhS7x5etTug6pm#rd

Bro 是一个开源的网络分析框架，侧重于网络安全监控。

Bro 的功能包括：
Bro 的脚本语言支持针对站点定制监控策略
针对高性能网络
分析器支持许多协议，可以在应用层面实现高级语义分析
它保留了其所监控的网络的丰富的应用层统计信息
Bro 能够与其他应用程序接口实时地交换信息
它的日志全面地记录了一切信息，并提供网络活动的高级存档

依赖文件

apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev    #安装依赖关系

wget -c http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget -c http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
gzip -d GeoLiteCity.dat.gz
gzip -d GeoLiteCityv6.dat.gz
mvGeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat
mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
#安装定位 IP 地理位置的 GeoIP 数据库

git clone --recursive git://git.bro.org/bro  #获取bro
cd bro
./configure
make && make install

Bro 的配置文件位于 /usr/local/bro/etc 目录下。
node.cfg，用于配置要监视的单个节点（或多个节点）。
broctl.cfg，BroControl 的配置文件。
networks.cgf，包含一个使用 CIDR 标记法表示的网络列表。

broctl.cfg

$EDITOR /usr/local/bro/etc/broctl.cfg   #配置邮件设置
# Recipient address for emails sent out by Bro and BroControl
MailTo = [email protected]

node.cfg

配置监视的节点：
$EDITOR /usr/local/bro/etc/node.cfg
[bro]
type=standalone
host=localhost
interface=eth0

inferface的值是本机公网网口

network.cfg

配置监视节点的网络
$EDITOR /usr/local/bro/etc/networks.cfg
# List of local networks in CIDR notation, optionally followed by a
# descriptive tag.
# For example, "10.0.0.0/8" or "fe80::/64" are valid prefixes.
10.0.0.0/8          Private IP space
172.16.0.0/12       Private IP space
192.168.0.0/16      Private IP space
#删除这三条或者注释掉这三条内容，然后输入服务器的公用和专用 IP 空间，格式如下：

X.X.X.X/X        Public IP space
X.X.X.X/X        Private IP space

/usr/local/bro/bin/broctl   #启动bro
/usr/local/bro/bin/broctl status  #查看运行状态