Dies ist der Befehls-Chaosreader, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
Chaosreader - Verfolgen Sie Netzwerksitzungen und exportieren Sie sie in das HTML-Format
ZUSAMMENFASSUNG
Chaosreader
Chaosreader [-aehikqrvxAHIRTUXY] [-D dir]
[-b Hafen[,...]] [-B Hafen[,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l Hafen[,...]] [-L Hafen[,...]] [-m Bytes[k]]
[-M Bytes[k]] [-o „time“|“size“|“type“|“ip“]
[-p Hafen[,...]] [-P Hafen[,...]]
im Ordner [infile2 ...]
Chaosreader -s [min] | -S [min[,zählen]]
[-z] [-f 'Filter']
BESCHREIBUNG
Chaosreader verfolgt TCP/UDP/andere Sitzungen und ruft Anwendungsdaten von Snoop oder ab
tcpdump-Protokolle. Dies ist eine Art „Any-Snarf“-Programm, da es Telnet-Sitzungen und FTP abruft
Dateien, HTTP-Übertragungen (HTML, GIF, JPEG usw.) und SMTP-E-Mails aus den darin erfassten Daten
Netzwerkverkehrsprotokolle. Es wird eine HTML-Indexdatei erstellt, die auf die gesamte Sitzung verweist
Details, einschließlich Echtzeit-Wiedergabeprogrammen für Telnet-, Rlogin-, IRC-, X11- und VNC-Sitzungen.
Chaosreader-Berichte wie Bildberichte und HTTP-GET/POST-Inhaltsberichte.
Chaosreader kann auch im Standalone-Modus ausgeführt werden, wo er tcpdump aufruft, um das Protokoll zu erstellen
Dateien und verarbeitet sie dann.
OPTIONAL
-a, --Anwendung
Anwendungssitzungsdateien erstellen (Standard)
-e, --alles
Erstellen Sie HTML-2-Wege- und Hex-Dateien für alles
-h Drucken Sie eine kurze Hilfe aus
--help Ausführliche Hilfe (dies) und Version ausdrucken
--help2
Drucken Sie massive Hilfe
-ich, --die Info
Infodatei erstellen
-Q, --ruhig
Leise, keine Ausgabe auf dem Bildschirm
-R, --roh
Erstellen Sie Rohdateien
-in, - ausführlich
Ausführlich – ALLE Dateien erstellen .. (außer -e)
-X, --Index
Indexdateien erstellen (Standard)
-EIN, --noapplication
Anwendungssitzungsdateien ausschließen
-H, --verhexen
Hex-Dumps einbinden (langsam)
-ICH, --keine Informationen
Infodateien ausschließen
-R, --noraw
Rohdateien ausschließen
-T, --notcp
TCP-Verkehr ausschließen
-U, --noudp
UDP-Verkehr ausschließen
-Y, --noicmp
ICMP-Verkehr ausschließen
-X, --noindex
Indexdateien ausschließen
-k, --Schlüsseldaten
Erstellen Sie zusätzliche Dateien für die Tastenanschlagsanalyse
-D dir, --dir dir
Geben Sie alle Dateien in dieses Verzeichnis aus
-b 25,79, --playtcp 25,79
Auch diese TCP-Ports wiedergeben (Wiedergabe)
-B 36,42, --playudp 36,42
Auch diese UDP-Ports wiedergeben (Wiedergabe)
-l 7,79, --htmltcp 7,79
Erstellen Sie auch HTML für diese TCP-Ports
-L 7,123, --htmludp 7,123
Erstellen Sie auch HTML für diese UDP-Ports
-m 1k, --Mindest 1k
Mindestgröße der zu speichernden Verbindung („k“ für KB)
-M 1024k, --max 1k
Maximale Größe der zu speichernden Verbindung („k“ für KB)
-o Größe, --Sortieren Größe
Sortierreihenfolge: Zeit/Größe/Typ/IP (Standardzeit)
-p 21,23, --Hafen 21,23
Untersuchen Sie nur diese Ports (TCP & UDP)
-P 80,81, --noport 80,81
Diese Ports ausschließen (TCP und UDP)
-s 5, --Renn einmal 5
Eigenständige. Führen Sie tcpdump/snoop für 5 aus min.
-S 5,10, --runmany 5,10
Eigenständig, viele. 10 Proben von 5 min jeder.
-S 5, --runmany 5
Eigenständig, endlos. 5-Minuten-Samples für immer.
-z, --runredo
Eigenständig, wiederholen. Liest die Protokolle der letzten Ausführung erneut.
-j 10.1.2.1, --ipaddr 10.1.2.1
Untersuchen Sie nur diese IPs
-J 10.1.2.1, --noipaddr 10.1.2.1
Schließen Sie diese IPs aus
-f 'Hafen 7 ', --Filter 'Hafen 7'
Verwenden Sie im Standalone-Modus diesen Dump-Filter.
AUSGABE DATEIEN
index.html
HTML-Index (vollständige Details)
index.text
Textindex
index.datei
Dateiindex für den eigenständigen Redo-Modus
image.html
HTML-Bericht der Bilder
getpost.html
HTML-Bericht über HTTP-GET/POST-Anfragen
session_0001.info
Infodatei, die die TCP-Sitzung Nr. 1 beschreibt
session_0001.telnet.html
HTML-farbige 2-Wege-Erfassung (zeitsortiert)
session_0001.telnet.raw
Rohdaten 2-Wege-Erfassung (zeitsortiert)
session_0001.telnet.raw1
Roher 1-Wege-Erfassungsserver (zusammengebaut)->Client
session_0001.telnet.raw2
Roher 1-Wege-Erfassungs-Client->Server (zusammengebaut).
session_0002.web.html
HTML-farbig, 2-Wege
session_0002.part_01.html
HTTP-Teil des Obigen, eine HTML-Datei
session_0003.web.html
HTML-farbig, 2-Wege
session_0003.part_01.jpeg
HTTP-Teil des Obigen, eine JPEG-Datei
session_0004.web.html
HTML-farbig, 2-Wege
session_0004.part_01.gif
HTTP-Teil des Obigen, eine GIF-Datei
session_0005.part_01.ftp-data.gz
Eine FTP-Übertragung, eine GZ-Datei.
KONVENTIONEN
Sitzung_*
TCP-Sitzungen
Strom_*
UDP-Streams
icmp_* ICMP-Pakete
index.html
HTML-Index
index.text
Textindex
index.datei
Dateiindex nur für den eigenständigen Redo-Modus
image.html
HTML-Bericht der Bilder
getpost.html
HTML-Bericht über HTTP-GET/POST-Anfragen
*.die Info Infodatei, die die Sitzung/den Stream beschreibt
*.roh Rohdaten 2-Wege-Erfassung (zeitsortiert)
*.raw1 Roher 1-Wege-Erfassungsserver (zusammengebaut)->Client
*.raw2 Roher 1-Wege-Erfassungs-Client->Server (zusammengebaut).
*.Wiederholung
Sitzungswiedergabeprogramm (Perl)
*.teilweise.*
Teilweise Erfassung (tcpdump/snoop waren sich der Drops bewusst)
*.hex.html
2-Wege-Hex-Dump, gerendert in farbigem HTML
*.hex.text
2-Wege-Hex-Dump im Klartext
*.X11.replay
X11-Wiedergabeskript (spricht X11)
*.textX11.replay
X11 kommuniziertes Textwiedergabeskript (nur Text)
*.textX11.html
2-Wege-Textbericht, gerendert in rot/blauem HTML
*.Schlüsseldaten
Datendatei zur Tastenverzögerung. Wird für die SSH-Analyse verwendet.
MODI
Normal z.B "Chaosreader im Ordner", hier wurde zuvor eine tcpdump/snoop-Datei erstellt
und Chaosreader liest und verarbeitet es.
Standalone einmal
z.B "Chaosreader -s 10" hier ist Chaosreader führt tcpdump/snoop aus und generiert
die Logdatei, in diesem Fall für 10 i Minuten, und verarbeitet dann das Ergebnis. Manche
Betriebssysteme verfügen möglicherweise nicht über TCPdump oder Snoop, sodass dies nicht funktioniert (stattdessen können Sie dies tun).
Sie können Ethereal herunterladen, ausführen, in einer Datei speichern und dann den normalen Modus verwenden. Da ist ein
Master index.html und der Report index.html in einem Sub dir, das das Format hat
out_YYYYMMDD-hhmm, z. B. „out_20031003-2221“.
Eigenständige, viele
z.B "Chaosreader -S 5,12", hier ist Chaosreader führt tcpdump/snoop aus und
generiert viele Protokolldateien, in diesem Fall führt es 12 Stichproben für jeweils 5 Minuten durch.
Während dies ausgeführt wird, kann die Master-Datei index.html angezeigt werden, um den Fortschritt zu verfolgen
Links zu kleineren index.html-Berichten in jedem Unterverzeichnis.
Eigenständige, Redo
z.B "Chaosreader -ve -z", (das -z), hier befand sich eine eigenständige Aufnahme
zuvor durchgeführt - und jetzt möchten Sie die Protokolle erneut verarbeiten - möglicherweise mit
verschiedene Optionen (in diesem Fall „-ve"). Es liest index.file, um festzustellen, welche
Erfassen Sie Protokolle zum Lesen.
Eigenständige, endlos
z.B "Chaosreader -S 5", wie viele Standalone-Versionen - läuft aber ewig (falls Sie das jemals hatten).
brauchen?). Achten Sie auf Ihren Speicherplatz!
Hinweis: Dies ist noch in Arbeit, ein Teil des Codes ist noch etwas unpoliert.
Hinweise
· Laufen Chaosreader in einem leeren Verzeichnis.
· Erstellen Sie kleine Paket-Dumps. Chaosreader benötigt etwa das Fünffache der Dump-Größe im Speicher. Eine 5 MB
Für die Verarbeitung der Datei könnten 500 MB RAM erforderlich sein.
· Ihr tcpdump erlaubt möglicherweise „-s0„ (gesamtes Paket) statt „-s9000".
· Achten Sie darauf, nicht zu viel Speicherplatz zu beanspruchen, insbesondere im Standalone-Modus.
· Wenn Sie zu viele kleine Verbindungen erfassen, die eine große index.html ergeben, versuchen Sie es mit der -m
Option zum Ignorieren kleiner Verbindungen. z.B "-m 1k".
· Snoop-Protokolle funktionieren möglicherweise tatsächlich besser. Snoop-Protokolle basieren auf RFC1761, es gibt jedoch solche
viele Varianten von tcpdump/libpcap und dieses Programm kann sie nicht alle lesen. Wenn Sie haben
Ethereal können Sie mit der Option „Speichern unter“ Snoop-Protokolle erstellen. Verwenden Sie unter Solaris „snoop
-o Logdatei".
· TCPdump-Protokolle sind möglicherweise nicht zwischen Betriebssystemen übertragbar, die unterschiedlich große Zeitstempel verwenden oder
Endian.
· Protokolle werden aus Geschwindigkeitsgründen am besten in einem Speicherdateisystem erstellt, normalerweise /tmp.
· Für X11- oder VNC-Wiedergaben üben Sie zunächst, indem Sie eine kürzlich aufgezeichnete Sitzung von Ihnen wiedergeben
eigen. Das größte Problem ist die Farbtiefe. Ihr Bildschirm muss mit der Aufnahme übereinstimmen. Für X11
Überprüfen Sie die Authentifizierung (xhost +), für VNC überprüfen Sie die Viewer-Optionen (-8bit, „Hextil“,
...)
· Die SSH-Analyse kann mit dem Programm „sshkeydata“ durchgeführt werden, wie auf gezeigt
http://www.brendangregg.com/sshanalysis.html . Chaosreader stellt die Eingabedateien bereit
(*.keydata), das sshkeydata analysiert.
Verwenden Sie Chaosreader online über die Dienste von onworks.net
