2020-11-06周报

关于Zeek架构

架构上，Zeek分为两层

• 事件引擎
  从libpcap拿数据，转换为事件。
  例如将http请求的流量元数据转换成http_request事件，包含IP地址，端口，URI等的一个事件

• 脚本解释器
  根据zeek自带的或用户添加的.zeek脚本处理事件，输出notice和log。
  Notice: Identifies specific activity that Zeek recognizes as potentially interesting, odd, or bad. In Zeek-speak, such activity is called a “notice”.

关于zeek语言

https://www.cnblogs.com/DF-Kyun/p/12354060.html
Zeek的脚本语言是事件驱动的，zeek中的脚本编写取决于zeek在处理网络流量时生成的事件，通过这些事件更改数据结构的状态以及对所提供信息进行决策。
Zeek将事件放入有序的事件队列中，以先到先得的方式处理，通过编写脚本对事件执行离散操作，得到有用的输出。

关于zeek package

JA3

利用tls中Client Hello包中TLSVersion，Ciphers，Extensions，EllipticCurves，EllipticCurvePointFormats字段组成字符串的MD5值，来生成JA3，TLS客户端的指纹

利用tls中Server Hello包中TLSVersion，Cipher，Extensions字段组成字符串的MD5值，来生成JA3S，TLS服务端的指纹

HASSH

利用ssh中Key Exchange Init过程中协商的kex算法，加密算法，Mac算法和压缩算法通过MD5生成的指纹