Zeek-Parser-DHCPv4-COM
English is here
概è¦
Zeek-Parser-DHCPv4-COMã¨ã¯Zeekオリジナルã®DHCPv4(Dynamic Host Configuration Protocol for IPv4)プラグインをå‚考ã«ã—ã¦ä½œæˆã—ãŸãƒ—ラグインã§ã™ã€‚
インストール
パッケージマãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã«ã‚ˆã‚‹ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«
ã“ã®ãƒ—ラグインã¯Zeek Package Manger用ã®ãƒ‘ッケージã¨ã—ã¦æä¾›ã•ã‚Œã¦ã„ã¾ã™ã€‚
以下ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’実行ã™ã‚‹ã“ã¨ã§ã€æœ¬ãƒ—ラグインã¯åˆ©ç”¨å¯èƒ½ã«ãªã‚Šã¾ã™ã€‚
zkg refresh
zkg install zeek-parser-DHCPv4-COM
マニュアルインストール
本プラグインを利用ã™ã‚‹å‰ã«ã€Zeek, SpicyãŒã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã•ã‚Œã¦ã„ã‚‹ã“ã¨ã‚’確èªã—ã¾ã™ã€‚
# Zeekã®ãƒã‚§ãƒƒã‚¯
~$ zeek -version
zeek version 5.0.0
# Spicyã®ãƒã‚§ãƒƒã‚¯
~$ spicyz -version
1.3.16
~$ spicyc -version
spicyc v1.5.0 (d0bc6053)
# 本マニュアルã§ã¯Zeekã®ãƒ‘スãŒä»¥ä¸‹ã§ã‚ã‚‹ã“ã¨ã‚’å‰æã¨ã—ã¦ã„ã¾ã™ã€‚
~$ which zeek
/usr/local/zeek/bin/zeek
本リãƒã‚¸ãƒˆãƒªã‚’ãƒãƒ¼ã‚«ãƒ«ç’°å¢ƒã« git clone ã—ã¾ã™ã€‚
~$ git clone https://github.com/nttcom/zeek-parser-DHCPv4-COM.git
使ã„æ–¹
パッケージマãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã«ã‚ˆã‚‹ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã®å ´åˆ
以下ã®ã‚ˆã†ã«æœ¬ãƒ—ラグインを使ã†ã“ã¨ã§ mydhcp.log ãŒç”Ÿæˆã•ã‚Œã¾ã™ã€‚
zeek -Cr /usr/local/zeek/var/lib/zkg/clones/package/zeek-parser-DHCPv4-COM/testing/Traces/test.pcap zeek-parser-DHCPv4-COM
マニュアルインストールã®å ´åˆ
ソースコードをコンパイルã—ã¦ã€ã‚ªãƒ–ジェクトファイルを以下ã®ãƒ‘スã«ã‚³ãƒ”ーã—ã¾ã™ã€‚
~$ cd ~/zeek-parser-DHCPv4-COM/analyzer
~$ spicyz -o mydhcp.hlto mydhcp.spicy zeek_mydhcp.spicy mydhcp.evt
# mydhcp.hltoãŒç”Ÿæˆã•ã‚Œã¾ã™
~$ cp mydhcp.hlto /usr/local/zeek/lib/zeek-spicy/modules/
åŒæ§˜ã«Zeekファイルを以下ã®ãƒ‘スã«ã‚³ãƒ”ーã—ã¾ã™ã€‚
~$ cd ~/zeek-parser-DHCPv4-COM/scripts/
~$ cp main.zeek /usr/local/zeek/share/zeek/site/MYDHCP.zeek
最後ã«Zeekプラグインをインãƒãƒ¼ãƒˆã—ã¾ã™ã€‚
~$ tail /usr/local/zeek/share/zeek/site/local.zeek
...çœç•¥...
@load MYDHCP
本プラグインを使ã†ã“ã¨ã§ mydhcp.log ãŒç”Ÿæˆã•ã‚Œã¾ã™ã€‚
~$ cd ~/zeek-parser-DHCPv4-COM/testing/Traces
~$ zeek -Cr test.pcap /usr/local/zeek/share/zeek/site/MYDHCP.zeek
ãƒã‚°ã®ã‚¿ã‚¤ãƒ—ã¨èª¬æ˜Ž
本プラグインã¯dhcpv4ã®å…¨ã¦ã®é–¢æ•°ã‚’監視ã—ã¦mydhcp.logã¨ã—ã¦å‡ºåŠ›ã—ã¾ã™ã€‚
| フィールド | タイプ | 説明 |
|---|---|---|
| ts | time | 通信ã—ãŸæ™‚ã®ã‚¿ã‚¤ãƒ スタンプ |
| SrcIP | addr | é€ä¿¡å…ƒIPアドレス |
| SrcMAC | string | é€ä¿¡å…ƒMACアドレス |
| Hostname | string | ホストã®åå‰ |
| ParameterList | vector[count] | DHCPクライアントã¨DHCPサーãƒé–“ã§ã‚„ã‚Šå–ã‚Šã•ã‚Œã‚‹ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸å†…ã®è¨å®šæƒ…å ± |
| ClassId | string | デãƒã‚¤ã‚¹ã®ã‚¿ã‚¤ãƒ—ã‚„ãƒãƒ¼ã‚¸ãƒ§ãƒ³æƒ…å ± |
mydhcp.log ã®ä¾‹ã¯ä»¥ä¸‹ã®ã¨ãŠã‚Šã§ã™ã€‚
#separator \x09
#set_separator ,
#empty_field (empty)
#unset_field -
#path mydhcp
#open 2023-09-13-05-55-51
#fields ts SrcIP SrcMAC Hostname ParameterList ClassId
#types time addr string string vector[count] string
1539480862.362578 0.0.0.0 32:05:33:83:b1:e7 DESKTOP-QVGI2E4 1,3,6,15,31,33,43,44,46,47,119,121,249,252 MSFT 5.0
1539567778.980630 192.168.0.28 32:05:33:83:b1:e7 DESKTOP-QVGI2E4 1,3,6,15,31,33,43,44,46,47,119,121,249,252 MSFT 5.0
#close 2023-09-13-05-55-55
関連ソフトウェア
本プラグインã¯OsecTã§åˆ©ç”¨ã•ã‚Œã¦ã„ã¾ã™ã€‚
関連リãƒã‚¸ãƒˆãƒª
- spicy-dhcp - Zeekオリジナルã®Spicyã«åŸºã¥ã„ãŸDHCPv4(Dynamic Host Configuration Protocol for IPv4)プラグインã§ã™ã€‚
ãƒã‚°ã®å·®åˆ†(DHCPv4-COMã¨Zeekオリジナル)
| フィールド | DHCPv4-COM | Zeekオリジナル | 説明 |
|---|---|---|---|
| ts | â—¯ | â—¯ | 通信ã—ãŸæ™‚ã®ã‚¿ã‚¤ãƒ スタンプ |
| SrcIP | â—¯ | â—¯ (client_addr) | é€ä¿¡å…ƒIPアドレス |
| SrcMAC | â—¯ | â—¯ (mac) | é€ä¿¡å…ƒMACアドレス |
| Hostname | â—¯ | â—¯ (host_name) | ホストã®åå‰ |
| ParameterList | â—¯ | x | DHCPクライアントã¨DHCPサーãƒé–“ã§ã‚„ã‚Šå–ã‚Šã•ã‚Œã‚‹ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸å†…ã®è¨å®šæƒ…å ± |
| ClassId | â—¯ | x | デãƒã‚¤ã‚¹ã®ã‚¿ã‚¤ãƒ—ã‚„ãƒãƒ¼ã‚¸ãƒ§ãƒ³æƒ…å ± |
| uids | x | â—¯ | 通信ã«ä»˜ã‘られãŸä¸€æ„ã®è˜åˆ¥å |
| server_addr | x | â—¯ | DHCPサーãƒã®IPアドレス |
| client_fqdn | x | â—¯ | DHCPクライアントã®å®Œå…¨ä¿®é£¾ãƒ‰ãƒ¡ã‚¤ãƒ³å |
| domain | x | â—¯ | DHCPクライアントãŒæ‰€å±žã™ã‚‹ãƒ‰ãƒ¡ã‚¤ãƒ³å |
| requested_addr | x | â—¯ | DHCPクライアントãŒè¦æ±‚ã—ãŸIPアドレス |
| assigned_addr | x | â—¯ | DHCPサーãƒã«ã‚ˆã£ã¦ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã«å‰²ã‚Šå½“ã¦ã‚‰ã‚ŒãŸIPアドレス |
| lease_time | x | â—¯ | DHCPクライアントã«å‰²ã‚Šå½“ã¦ã‚‰ã‚ŒãŸIPアドレスã®ãƒªãƒ¼ã‚¹æ™‚é–“ |
| client_message | x | â—¯ | DHCPクライアントã®ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ |
| server_message | x | â—¯ | DHCPサーãƒã®ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ |
| msg_types | x | â—¯ | メッセージã®ã‚¿ã‚¤ãƒ— |
| duration | x | â—¯ | 通信ã®ç¶™ç¶šæ™‚é–“ |