关键网络问题

我于2018年12月7日写下这些内容，但直到今天才发布。以下是"关键网络问题"，这些问题"无需访问第三方日志存储库即可回答关于网络的关键问题。这些数据是通过实时挖掘Zeek日志数据而非存储和查询第三方存储库中的Zeek日志得出的。“这是我在2018年下半年对Zeek数据的思考方式。

1. 在使用哪些网络技术，在用户指定的时间间隔内？

   1. 枚举非IP协议（IPv6，不常见的以太类型）
   2. 枚举IPv4和IPv6协议（TCP、UDP、ICMP等）
   3. 本地IP网络拓扑/寻址方案是什么？

2. 哪些系统在用户指定的时间间隔内为网络提供核心服务？

   1. DHCP
   2. DNS
   3. NTP
   4. 域控制器
   5. 文件共享
   6. 默认网关（通过DHCP检查等）
   7. Web和云服务

3. 在使用哪些隧道机制，在用户指定的时间间隔内？

   1. IPSec或其他VPN
   2. SOCKS代理
   3. Web代理（端口3128）
   4. 其他代理

4. 在使用哪些访问服务，在用户指定的时间间隔内？

   1. SSH
   2. Telnet
   3. RDP
   4. VNC
   5. SMB
   6. 其他

5. 在使用哪些文件传输服务，在用户指定的时间间隔内？

   1. SCP或其他基于SSH的文件传输
   2. FTP
   3. SMB
   4. NFS

6. 加密测量，在用户指定的时间间隔内

   1. 在使用哪些加密方法？
   2. 在用户指定的时间间隔内，加密网络流量的百分比是多少，以及使用哪种方法？

7. 带宽测量，在用户指定的时间间隔内

   1. 聚合
   2. 按IP地址
   3. 按服务

8. 会话跟踪，在用户指定的时间间隔内

   1. 前N个连接对
   2. 后N个连接对

9. 检测计数，在用户指定的时间间隔内

   1. 提供来自Zeek weird.log的消息计数
   2. 提供来自其他Zeek检测日志的消息计数

10. 对于每个IP地址（或可能的IP-MAC地址配对），在用户指定的时间间隔内，构建包含以下内容的配置文件：

    1. 首次出现，最后出现
    2. 通过DNS、SMB等观察到的名称
    3. 访问和提供的核心服务
    4. 使用和提供的隧道机制
    5. 使用和提供的访问服务
    6. 使用和提供的文件传输服务
    7. 加密方法
    8. 带宽测量
    9. 前N和后N的会话跟踪
    10. 检测计数