zeek脚本编写-检测局域网内的http代理

根据官网的例子写了个zeek脚本，检测局域网内的http代理服务器（可能被用作恶意行为的跳板。

搭建简陋的http代理

http代理的作用就是转发客户端的http请求的功能，主要用到工具如下：

• kali主机：ip 192.168.140.131, 预装burpsuite和tcpdump。
• ubuntu16.04: firefox浏览器。
  首先，Kali主机作为http代理，开启burpsuite监听8080端口，同时开启tcpdump抓包。
  其次，ubuntu主机作为客户端，配置kali主机的ip和端口作为代理，将浏览器的流量转发到Kali主机。
  
  这样就实现了简易的http代理，当然Kali 主机会先拦截http请求。为了方便，只检测开启了http代理的局域网主机。
  如图，kali虚拟机捕捉到get请求中带有http字样，这是http代理的特征。
  

脚本编写和测试结果

编写如下脚本internal_http_proxy.zeek，主要判断http请求中是否含有http字样和请求的是否是内网主机ip。若是，发出notice。

利用Kali 抓的http_proxy包测试,成功检测到Kali主机是http代理。

zeek -r http_proxy.pcap internal_http_proxy.zeek -C