Zeek-Parser-CIFS-NBNS-COM

English is here

概要

Zeek-Parser-CIFS-NBNS-COMとはNetBios Protocolを解析できるZeekプラグインです。

インストール

パッケージマネージャーによるインストール

このプラグインはZeek Package Manger用のパッケージとして提供されています。

以下のコマンドを実行することで、本プラグインは利用可能になります。

zkg refresh
zkg install zeek-parser-CIFS-NBNS-COM

マニュアルインストール

本プラグインを利用する前に、Zeek, Spicyがインストールされていることを確認します。

# Zeekのチェック
~$ zeek -version
zeek version 5.0.0

# Spicyのチェック
~$ spicyz -version
1.3.16
~$ spicyc -version
spicyc v1.5.0 (d0bc6053)

# 本マニュアルではZeekのパスが以下であることを前提としています。
~$ which zeek
/usr/local/zeek/bin/zeek

本リポジトリをローカル環境に git clone します。

~$ git clone https://github.com/nttcom/zeek-parser-CIFS-NBNS-COM.git

使い方

パッケージマネージャーによるインストールの場合

以下のように本プラグインを使うことで nbns.log が生成されます。

zeek -Cr /usr/local/zeek/var/lib/zkg/clones/package/zeek-parser-CIFS-NBNS-COM/testing/Traces/test.pcap zeek-parser-CIFS-NBNS-COM

マニュアルインストールの場合

ソースコードをコンパイルして、オブジェクトファイルを以下のパスにコピーします。

~$ cd ~/zeek-parser-CIFS-NBNS-COM/analyzer
~$ spicyz -o nbns.hlto nbns.spicy nbns.evt
# nbns.hltoが生成されます
~$ cp nbns.hlto /usr/local/zeek/lib/zeek-spicy/modules/

同様にZeekファイルを以下のパスにコピーします。

~$ cd ~/zeek-parser-CIFS-NBNS-COM/scripts/
~$ cp main.zeek /usr/local/zeek/share/zeek/site/NBNS.zeek

最後にZeekプラグインをインポートします。

~$ tail /usr/local/zeek/share/zeek/site/local.zeek
...省略...
@load NBNS

本プラグインを使うことで nbns.log が生成されます。

~$ cd ~/zeek-parser-CIFS-NBNS-COM/testing/Traces
~$ zeek -Cr test.pcap /usr/local/zeek/share/zeek/site/NBNS.zeek

ログのタイプと説明

本プラグインはnbnsの全ての関数を監視してnbns.logとして出力します。

nbns.log の例は以下のとおりです。

#separator \x09
#set_separator	,
#empty_field	(empty)
#unset_field	-
#path	nbns
#open	2023-09-13-04-00-57
#fields	ts	SrcIP	SrcMAC	Name	TTL	ServiceType
#types	time	addr	string	string	count	string
750820972.181240	192.168.1.215	3c:a6:f6:29:43:51	MACBOOKAIR-435	900	Server
750820972.171322	192.168.1.215	3c:a6:f6:29:43:51	MACBOOKAIR-435	900	Workstation
750823604.550596	192.168.1.215	3c:a6:f6:29:43:51	MACBOOKAIR-435	900	Server
#close	2023-09-13-04-00-57

関連ソフトウェア

本プラグインはOsecTで利用されています。