هذا هو برنامج قراءة الفوضى الذي يمكن تشغيله في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة على الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
الفوضى - تتبع جلسات الشبكة وتصديرها إلى تنسيق html
موجز
الفوضى
الفوضى [-هيكقرفكساهيرتوشى] [-D دير]
[-b ميناء[،...]] [-B ميناء[،...]]
[-j IPaddr [، ...]] [-J IPaddr [، ...]]
[-l ميناء[،...]] [-L ميناء[،...]] [-m بايت [k]]
[-M بايت [ك]] [-o "الوقت" | "الحجم" | "النوع" | "ip"]
[-p ميناء[،...]] [-P ميناء[،...]]
شرير [infile2 ...]
الفوضى -s [دقائق] | -S [دقائق[،عدد]]
[-z] [-f 'منقي']
الوصف
يتتبع Chaosreader جلسات TCP / UDP / الآخرين ويجلب بيانات التطبيق من snoop أو
سجلات tcpdump. هذا نوع من برامج "any-snarf" ، حيث سيحضر جلسات telnet ، FTP
الملفات ونقل HTTP (HTML و GIF و JPEG وما إلى ذلك) ورسائل البريد الإلكتروني SMTP من البيانات الملتقطة بالداخل
سجلات حركة مرور الشبكة. يتم إنشاء ملف فهرس html لتلك الروابط لجميع الجلسة
التفاصيل ، بما في ذلك برامج إعادة التشغيل في الوقت الفعلي لجلسات telnet و rlogin و IRC و X11 و VNC.
تقارير Chaosreader مثل تقارير الصور وتقارير محتوى HTTP GET / POST.
يمكن أيضًا تشغيل Chaosreader في الوضع المستقل ، حيث يستدعي tcpdump لإنشاء السجل
الملفات ثم معالجتها.
OPTIONS
-a، --تطبيق
إنشاء ملفات جلسة التطبيق (افتراضي)
-e، --كل شئ
قم بإنشاء ملفات HTML ثنائية الاتجاه وعرافة لكل شيء
-h اطبع تعليمات موجزة
--مساعدة اطبع التعليمات المطولة (هذا) والإصدار
--مساعدة 2
اطبع مساعدة هائلة
-أنا، --معلومات
إنشاء ملف معلومات
-q ، --هادئ
هادئ ، لا يوجد مخرج للشاشة
-r ، --الخام
إنشاء ملفات خام
-الخامس، - الإسراف
مطول - إنشاء كافة الملفات .. (باستثناء -e)
-x ، --فهرس
إنشاء ملفات الفهرس (افتراضي)
-أ، --لا تطبيق
استبعاد ملفات جلسة التطبيق
-H ، --عرافة
تضمين مقالب سداسية عشرية (بطيئة)
-أنا، - noinfo
استبعاد ملفات المعلومات
-R ، --نورا
استبعاد الملفات الخام
-T ، - notCP
استبعاد حركة مرور TCP
-U ، - noudp
استبعاد حركة مرور UDP
- ص ، --نويكمب
استبعاد حركة مرور ICMP
-X ، - noindex
استبعاد ملفات الفهرس
-ك، --البيانات الرئيسية
إنشاء ملفات إضافية لتحليل ضغطات المفاتيح
-D دير, --دير دير
إخراج جميع الملفات إلى هذا الدليل
-b 25,79 - playtcp 25,79
أعد تشغيل منافذ TCP هذه أيضًا (تشغيل)
-B 36,42 - playudp 36,42
أعد تشغيل منافذ UDP هذه أيضًا (تشغيل)
-l 7,79 - htmltcp 7,79
قم بإنشاء HTML لمنافذ TCP هذه أيضًا
-L 7,123 - htmludp 7,123
قم بإنشاء HTML لمنافذ UDP هذه أيضًا
-m 1k، - دقيقة 1k
الحد الأدنى لحجم الاتصال المراد حفظه ("k" للكيلو بايت)
-M 1024k، --الأعلى 1k
الحد الأقصى لحجم الاتصال المراد حفظه ("k" للكيلو بايت)
-o حجم، --نوع المقاسات
ترتيب الفرز: الوقت / الحجم / النوع / ip (الوقت الافتراضي)
-p 21,23 --ميناء 21,23
افحص هذه المنافذ فقط (TCP & UDP)
-P 80,81 - نوبورت 80,81
استبعاد هذه المنافذ (TCP و UDP)
-s 5, --تشغيل مرة واحدة 5
مستقل. قم بتشغيل tcpdump / snoop لمدة 5 دقائق.
-S 5,10 - أركض 5,10
مستقل ، كثير. 10 عينات من 5 دقائق كل.
-S 5, - أركض 5
قائمة بذاتها لا نهاية لها. 5 دقائق عينات إلى الأبد.
-z ، - رونريدو
مستقل ، إعادة. يعيد قراءة سجلات التشغيل الأخير.
-j 10.1.2.1 --ipaddr 10.1.2.1
قم فقط بفحص عناوين IP هذه
-J 10.1.2.1 - noipaddr 10.1.2.1
استبعاد عناوين IP هذه
-f 'ميناء 7 '، --منقي 'ميناء 7'
مع مستقل ، استخدم مرشح التفريغ هذا.
OUTPUT FILES
index.html و
فهرس Html (تفاصيل كاملة)
Index.text
فهرس النص
ملف الفهرس
فهرس الملف لوضع الإعادة المستقل
image.html
تقرير HTML للصور
getpost.html
تقرير HTML لطلبات HTTP GET / POST
session_0001.info
ملف معلومات يصف جلسة TCP رقم 1
session_0001.telnet.html
التقاط ثنائي الاتجاه ملون بتنسيق HTML (مع فرز الوقت)
session_0001.telnet.raw
التقاط ثنائي الاتجاه للبيانات الخام (مصنف بالوقت)
session_0001.telnet.raw1
خادم الالتقاط أحادي الاتجاه (المجمّع )-> العميل
session_0001.telnet.raw2
عميل التقاط خام أحادي الاتجاه (مجمّع )-> خادم
session_0002.web.html
HTML ملون ثنائي الاتجاه
session_0002.part_01.html
جزء HTTP من أعلاه ، ملف HTML
session_0003.web.html
HTML ملون ثنائي الاتجاه
session_0003.part_01.jpeg
جزء HTTP من أعلاه ، ملف JPEG
session_0004.web.html
HTML ملون ثنائي الاتجاه
session_0004.part_01.gif
جزء HTTP من أعلاه ، ملف GIF
session_0005.part_01.ftp-data.gz
نقل FTP ، ملف gz.
الاتفاقيات
حصة_*
جلسات TCP
تدفق_*
UDP تيارات
icmp_ * حزم ICMP
index.html و
فهرس HTML
Index.text
فهرس النص
ملف الفهرس
فهرس الملف لوضع الإعادة المستقل فقط
image.html
تقرير HTML للصور
getpost.html
تقرير HTML لطلبات HTTP GET / POST
*.معلومات ملف معلومات يصف الجلسة / الدفق
*.خام التقاط ثنائي الاتجاه للبيانات الخام (مصنف بالوقت)
* .raw1 خادم الالتقاط أحادي الاتجاه (المجمّع )-> العميل
* .raw2 عميل التقاط خام أحادي الاتجاه (مجمّع )-> خادم
* إعادة التشغيل
برنامج إعادة الجلسة (بيرل)
*.جزئي.*
الالتقاط الجزئي (كان tcpdump / snoop على علم بالقطرات)
* .hex.html
2-way Hex dump، مقدم بتنسيق HTML ملون
* .hex.text
2-طريقة تفريغ سداسي عشري في نص عادي
* إعادة تشغيل X11
سيناريو إعادة تشغيل X11 (محادثات X11)
* .textX11. إعادة التشغيل
X11 برنامج نصي لإعادة عرض النص المرسل (نص فقط)
* .textX11.html
تقرير نصي ثنائي الاتجاه ، مقدم بتنسيق HTML باللون الأحمر / الأزرق
*.البيانات الرئيسية
ملف بيانات تأخير ضغط المفاتيح. تستخدم لتحليل SSH.
MODES
خرسانة عادية على سبيل المثال "الفوضى شرير"، هذا هو المكان الذي تم فيه إنشاء ملف tcpdump / snoop مسبقًا
و الفوضى يقرأها ويعالجها.
مستقل مرة
على سبيل المثال "الفوضى -s 10 "هذا هو المكان الفوضى يدير tcpdump / snoop ويولد
ملف السجل ، في هذه الحالة لمدة 10 دقائق ، ثم يعالج النتيجة. بعض
قد لا يتوفر في أنظمة التشغيل tcpdump أو snoop ، لذا لن يعمل هذا (يمكنك بدلاً من ذلك
تكون قادرًا على الحصول على Ethereal وتشغيله وحفظه في ملف ثم استخدام الوضع العادي). هناك
index.html الرئيسي والتقرير index.html في ملف فرعي دير، وهو من التنسيق
out_YYYYMMDD-hhmm ، على سبيل المثال "out_20031003-2221".
مستقل ، كثير
على سبيل المثال "الفوضى -S 5,12،XNUMX "، هذا هو المكان الفوضى يدير tcpdump / snoop و
يُنشئ العديد من ملفات السجل ، وفي هذه الحالة يتم أخذ عينات 12 مرة لمدة 5 دقائق لكل ملف.
أثناء تشغيل هذا ، يمكن عرض index.html الرئيسي لمشاهدة التقدم ، والذي
روابط لتقارير index.html الثانوية في كل دليل فرعي.
مستقل ، فعل ثانية
على سبيل المثال "الفوضى هاء -z"، (ال -z) ، هذا هو المكان الذي تم فيه الالتقاط المستقل
تم إجراؤها مسبقًا - والآن ترغب في إعادة معالجة السجلات - ربما باستخدام
خيارات مختلفة (في هذه الحالة ، "هاء"). يقرأ ملف index.file لتحديد أي ملف
التقاط السجلات لقراءتها.
مستقل ، التي لا نهاية لها
على سبيل المثال "الفوضى -S 5 "، مثل العديد من قائمة بذاتها - ولكنها تعمل إلى الأبد (إذا كان لديك
يحتاج؟). مشاهدة مساحة القرص الخاص بك!
ملاحظة: هذا عمل قيد التنفيذ ، وبعض التعليمات البرمجية غير مصقولة قليلاً.
نصائح
· يركض الفوضى في دليل فارغ.
· إنشاء مقالب رزمة صغيرة. يستخدم Chaosreader حوالي 5 أضعاف حجم التفريغ في الذاكرة. 100 ميغا بايت
قد يحتاج الملف إلى 500 ميغا بايت من ذاكرة الوصول العشوائي للمعالجة.
· قد يسمح برنامج tcpdump الخاص بك بـ "-S0"(الحزمة بأكملها) بدلاً من"-S9000".
احذر من استخدام مساحة كبيرة على القرص ، خاصة الوضع المستقل.
إذا التقطت عددًا كبيرًا جدًا من الوصلات الصغيرة مما يعطي ملف index.html ضخمًا ، فحاول استخدام ملحق -m
خيار لتجاهل الاتصالات الصغيرة. على سبيل المثال "-m 1 كيلو ".
قد تعمل سجلات التطفل بشكل أفضل في الواقع. تستند سجلات Snoop إلى RFC1761 ، ولكن هناك
العديد من متغيرات tcpdump / libpcap ولا يمكن لهذا البرنامج قراءتها كلها. اذا كنت تمتلك
Ethereal يمكنك إنشاء سجلات التطفل أثناء خيار "حفظ باسم". في Solaris استخدم "snoop
-o ملف تسجيل".
· قد لا تكون سجلات tcpdump محمولة بين أنظمة التشغيل التي تستخدم طوابع زمنية مختلفة الحجم أو
إنديان.
من الأفضل إنشاء سجلات في نظام ملفات ذاكرة للسرعة ، عادة / tmp.
بالنسبة لعمليات تشغيل X11 أو VNC ، تدرب أولاً على إعادة تشغيل جلسة تم التقاطها مؤخرًا من
ملك. أكبر مشكلة هي عمق اللون ، يجب أن تتطابق شاشتك مع الالتقاط. بالنسبة لـ X11
تحقق من المصادقة (xhost +) ، بالنسبة إلى VNC ، تحقق من خيارات المشاهدين (-8 بت، "Hextile" ،
...)
يمكن إجراء تحليل SSH باستخدام برنامج "sshkeydata" كما هو موضح في
http://www.brendangregg.com/sshanalysis.html . الفوضى يوفر ملفات الإدخال
(* .keydata) التي تحللها sshkeydata.
استخدم chaosreader عبر الإنترنت باستخدام خدمات onworks.net
