이 bro 스크립트를 작성하여 Pcap 파일에서 모든 파일을 추출했습니다. 문제는 모든 파일을 추출하지 않는다는 것입니다. 나는 Wireshark로 분석 한 http.cap을 가지고 있으며, HTTP 객체를 2 개의 .html 파일로 내 보낸다. 내 bro 스크립트는이 파일 중 하나만 추출합니다.브로는 Pcap 파일에서 모든 파일을 추출하지 않습니다
@load base/files/extract
global hash_number = 100;
event bro_init()
{
#Log::disable_stream(Conn::LOG);
mkdir("extract_files");
}
event file_sniff(f: fa_file, meta: fa_metadata)
{
local ext = "";
if (meta?$mime_type)
ext = split_string(meta$mime_type, /\//)[1];
local hash = f$seen_bytes % hash_number;
mkdir(fmt("./extract_files/%d", hash));
local file_path = fmt("%d/%s-%s.%s", hash, f$source, f$id, ext);
Files::add_analyzer(f, Files::ANALYZER_EXTRACT, [$extract_filename=file_path]);
}
나는이 같은 내 동급 스크립트를 호출 : bro -r http.cap myscript.bro
. 인쇄 기능을 사용하여 file_sniff 이벤트를 디버깅했으며 2 개의 .html 파일 중 1 개만 추적합니다. Bro 플랫폼에 문제가 있거나 내가 놓친 것입니까? This이 내 pcap 파일입니다.
다른 pcap 파일 this도 시도해 보았습니다. Wireshark에서 일부 이미지, js 및 http 파일을 가져오고 bro는 2 개의 이미지 만 추출합니다.
이 질문은 귀하가 사용중인 PCAP가 필요합니다. PCAP에서 예상치 못한 일이 발생할 수 있습니다. –
질문에 pcap 파일을 추가했습니다. [여기] (https://drive.google.com/open?id=0B6K5aM3RO7V-ZEhOZjhKeGRKdGs)도 추가했습니다. –