zeek腳本編寫-檢測區域網路内的http代理

根據官網的例子寫了個zeek腳本，檢測區域網路内的http代理伺服器（可能被用作惡意行為的跳闆。

搭建簡陋的http代理

http代理的作用就是轉發用戶端的http請求的功能，主要用到工具如下：

• kali主機：ip 192.168.140.131, 預裝burpsuite和tcpdump。

• ubuntu16.04: firefox浏覽器。

  首先，Kali主機作為http代理，開啟burpsuite監聽8080端口，同時開啟tcpdump抓包。

  其次，ubuntu主機作為用戶端，配置kali主機的ip和端口作為代理，将浏覽器的流量轉發到Kali主機。

  

  這樣就實作了簡易的http代理，當然Kali 主機會先攔截http請求。為了友善，隻檢測開啟了http代理的區域網路主機。

  如圖，kali虛拟機捕捉到get請求中帶有http字樣，這是http代理的特征。

  

腳本編寫和測試結果

編寫如下腳本internal_http_proxy.zeek，主要判斷http請求中是否含有http字樣和請求的是否是内網主機ip。若是，發出notice。

利用Kali 抓的http_proxy包測試,成功檢測到Kali主機是http代理。

zeek -r http_proxy.pcap internal_http_proxy.zeek -C