根據官網的例子寫了個zeek腳本,檢測區域網路内的http代理伺服器(可能被用作惡意行為的跳闆。
搭建簡陋的http代理
http代理的作用就是轉發用戶端的http請求的功能,主要用到工具如下:
- kali主機:ip 192.168.140.131, 預裝burpsuite和tcpdump。
-
ubuntu16.04: firefox浏覽器。
首先,Kali主機作為http代理,開啟burpsuite監聽8080端口,同時開啟tcpdump抓包。
其次,ubuntu主機作為用戶端,配置kali主機的ip和端口作為代理,将浏覽器的流量轉發到Kali主機。
這樣就實作了簡易的http代理,當然Kali 主機會先攔截http請求。為了友善,隻檢測開啟了http代理的區域網路主機。
如圖,kali虛拟機捕捉到get請求中帶有http字樣,這是http代理的特征。
腳本編寫和測試結果
編寫如下腳本internal_http_proxy.zeek,主要判斷http請求中是否含有http字樣和請求的是否是内網主機ip。若是,發出notice。
利用Kali 抓的http_proxy包測試,成功檢測到Kali主機是http代理。
zeek -r http_proxy.pcap internal_http_proxy.zeek -C