Skip to content

nttcom/zeek-parser-DHCPv6-COM

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

21 Commits
analyzer
analyzer
 
 
cmake
cmake
 
 
scripts
scripts
 
 
testing
testing
 
 
CMakeLists.txt
CMakeLists.txt
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
README_en.md
README_en.md
 
 
zkg.meta
zkg.meta
 
 

Repository files navigation

Zeek-Parser-DHCPv6-COM

English is here

概要

Zeek-Parser-DHCPv6-COMとはDHCPv6(Dynamic Host Configuration Protocol for IPv6)を解析できるZeekプラグインです。

インストール

パッケージマネージャーによるインストール

このプラグインはZeek Package Manger用のパッケージとして提供されています。

以下のコマンドを実行することで、本プラグインは利用可能になります。

zkg refresh
zkg install zeek-parser-DHCPv6-COM

マニュアルインストール

本プラグインを利用する前に、Zeek, Spicyがインストールされていることを確認します。

# Zeekのチェック
~$ zeek -version
zeek version 5.0.0

# Spicyのチェック
~$ spicyz -version
1.3.16
~$ spicyc -version
spicyc v1.5.0 (d0bc6053)

# 本マニュアルではZeekのパスが以下であることを前提としています。
~$ which zeek
/usr/local/zeek/bin/zeek

本リポジトリをローカル環境に git clone します。

~$ git clone https://github.com/nttcom/zeek-parser-DHCPV6-COM.git

使い方

パッケージマネージャーによるインストールの場合

以下のように本プラグインを使うことで dhcpv6.log が生成されます。

zeek -Cr /usr/local/zeek/var/lib/zkg/clones/package/zeek-parser-DHCPv6-COM/testing/Traces/test.pcap zeek-parser-DHCPv6-COM

マニュアルインストールの場合

ソースコードをコンパイルして、オブジェクトファイルを以下のパスにコピーします。

~$ cd ~/zeek-parser-DHCPV6-COM/analyzer
~$ spicyz -o dhcpv6.hlto dhcpv6.spicy zeek_dhcpv6.spicy dhcpv6.evt 
# dhcpv6.hltoが生成されます
~$ cp dhcpv6.hlto /usr/local/zeek/lib/zeek-spicy/modules/

同様にZeekファイルを以下のパスにコピーします。

~$ cd ~/zeek-parser-DHCPV6-COM/scripts/
~$ cp main.zeek /usr/local/zeek/share/zeek/site/DHCPV6.zeek

最後にZeekプラグインをインポートします。

~$ tail /usr/local/zeek/share/zeek/site/local.zeek
...省略...
@load DHCPV6

本プラグインを使うことで dhcpv6.log が生成されます。

~$ cd ~/zeek-parser-DHCPV6-COM/testing/Traces
~$ zeek -Cr test.pcap /usr/local/zeek/share/zeek/site/DHCPV6.zeek

ログのタイプと説明

本プラグインはdhcpv6の全ての関数を監視してdhcpv6.logとして出力します。

フィールド タイプ 説明
ts time 通信した時のタイムスタンプ
SrcIP addr 送信元IPアドレス
SrcMAC string 送信元MACアドレス
Hostname string ホストの名前
FingerPrint vector[count] 特定のコンピューター、サーバー、仮想マシン、システム、アプリケーション、ツールまたは環境の識別子
EnterpriseNumber count 企業または組織の識別番号の出現回数
VendorClass string ベンダーが提供するクライアントソフトウェアやデバイスのタイプやバージョン情報

dhcpv6.log の例は以下のとおりです。

#separator \x09
#set_separator	,
#empty_field	(empty)
#unset_field	-
#path	dhcpv6
#open	2023-09-13-05-06-45
#fields	ts	SrcIP	SrcMAC	Hostname	FingerPrint	EnterpriseNumber	VendorClass
#types	time	addr	string	string	vector[count]	count	string
1547129924.510607	fe80::8882:5cf6:f2eb:c8b9	00:0c:29:71:12:2e	vagrant-2008R2happycrazy	311,24,23,17,39	311	MSFT 5.0
1547129962.336912	fe80::28e4:bf15:6f67:5024	00:0c:29:c2:25:f9	WIN7-CLIENT-01happycrazy	311,24,23,17,39	311	MSFT 5.0
1547129987.504802	fe80::8882:5cf6:f2eb:c8b9	00:0c:29:71:12:2e	vagrant-2008R2happycrazy	311,24,23,17,39	311	MSFT 5.0
#close	2023-09-13-05-06-45

関連ソフトウェア

本プラグインはOsecTで利用されています。

About

No description, website, or topics provided.

Resources

Readme

License

BSD-2-Clause license
Activity
Custom properties

Stars

0 stars

Watchers

8 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Contributors 2

  •  
  •  

Languages