Este es el lector de caos de comandos que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
lector del caos - rastrear sesiones de red y exportarlas a formato html
SINOPSIS
lector del caos
lector del caos [-aehikqrvxAHIRTUXY] [-D dir]
[-b Puerto[,...]] [-B Puerto[,...]]
[-j IPaddr [, ...]] [-J IPaddr [, ...]]
[-l Puerto[,...]] [-L Puerto[,...]] [-m bytes [k]]
[-M bytes [k]] [-o "tiempo" | "tamaño" | "tipo" | "ip"]
[-p Puerto[,...]] [-P Puerto[,...]]
en archivo [archivo2 ...]
lector del caos -s [minutos] | -S [minutos[,contar]]
[-z] [-f 'filtrar']
DESCRIPCIÓN
Chaosreader rastrea TCP / UDP / otras sesiones y recupera datos de la aplicación de snoop o
registros de tcpdump. Este es un tipo de programa "any-snarf", ya que buscará sesiones de telnet, FTP
archivos, transferencias HTTP (HTML, GIF, JPEG, etc.) y correos electrónicos SMTP de los datos capturados dentro
registros de tráfico de la red. Se crea un archivo de índice html que enlaza con toda la sesión.
detalles, incluidos programas de reproducción en tiempo real para sesiones de telnet, rlogin, IRC, X11 y VNC.
Informes de Chaosreader, como informes de imágenes e informes de contenido HTTP GET / POST.
Chaosreader también se puede ejecutar en modo independiente, donde invoca tcpdump para crear el registro
archivos y luego los procesa.
CAMPUS
-a --solicitud
Crear archivos de sesión de la aplicación (predeterminado)
-mi, --todo
Cree archivos HTML bidireccionales y hexadecimales para todo
-h Imprime una breve ayuda
--ayuda Imprimir ayuda detallada (esto) y versión
--ayuda2
Imprimir ayuda masiva
-I, --información
Crear archivo de información
-q, --tranquilo
Silencioso, sin salida a la pantalla
-r, --crudo
Crea archivos sin procesar
-v, --verboso
Detallado: crea TODOS los archivos ... (excepto -e)
-X, --índice
Crear archivos de índice (predeterminado)
-UN, --sin aplicación
Excluir archivos de sesión de la aplicación
-H, --maleficio
Incluir volcados hexadecimales (lento)
-YO, --sin información
Excluir archivos de información
-R, --noraw
Excluir archivos sin procesar
-T, --notcp
Excluir el tráfico TCP
-Tú, --noudp
Excluir el tráfico UDP
-Y, --noicmp
Excluir el tráfico ICMP
-X, --noindex
Excluir archivos de índice
-k, --llave de datos
Cree archivos adicionales para el análisis de pulsaciones de teclas
-D dir, --dir dir
Salida de todos los archivos a este directorio
-b 25,79, --playtcp 25,79
reproducir estos puertos TCP también (reproducción)
-B 36,42, --playudp 36,42
reproducir también estos puertos UDP (reproducción)
-l 7,79, --htmltcp 7,79
Cree HTML también para estos puertos TCP
-L 7,123, --htmludp 7,123
Cree HTML también para estos puertos UDP
-m 1k, --min 1k
Tamaño mínimo de conexión para guardar ("k" para Kb)
-M 1024k, --máx 1k
Tamaño máximo de conexión para guardar ("k" para Kb)
-o tamaño, --clasificar tamaño
Orden de clasificación: hora / tamaño / tipo / ip (hora predeterminada)
-p 21,23, --Puerto 21,23
Examine solo estos puertos (TCP y UDP)
-P 80,81, --sin puerto 80,81
Excluir estos puertos (TCP y UDP)
-s 5, --corre una vez 5
Ser único. Ejecute tcpdump / snoop durante 5 minutos.
-S 5,10, --muchos 5,10
Independiente, muchos. 10 muestras de 5 minutos cada uno.
-S 5, --muchos 5
Independiente, interminable. Muestras de 5 min para siempre.
-z, --runredo
Independiente, rehacer. Vuelve a leer los registros de la última ejecución.
-j 10.1.2.1, --ipaddr 10.1.2.1
Examine solo estas direcciones IP
-J 10.1.2.1, --noipadr 10.1.2.1
Excluir estas direcciones IP
-f 'Puerto 7 ', --filtrar 'Puerto 7'
Con independiente, use este filtro de volcado.
SALIDA ARCHIVOS
index.html
Índice HTML (detalles completos)
índice de texto
Índice de texto
índice.archivo
Índice de archivos para el modo de rehacer independiente
imagen.html
Informe HTML de imágenes
getpost.html
Informe HTML de solicitudes HTTP GET / POST
sesión_0001.info
Archivo de información que describe la sesión TCP # 1
sesión_0001.telnet.html
Captura bidireccional en color HTML (ordenada por tiempo)
session_0001.telnet.sin procesar
Captura bidireccional de datos brutos (ordenados por tiempo)
sesión_0001.telnet.raw1
Servidor de captura unidireccional sin procesar (ensamblado) -> cliente
sesión_0001.telnet.raw2
Cliente-> servidor de captura unidireccional sin procesar (ensamblado)
sesión_0002.web.html
HTML bidireccional coloreado
sesión_0002.part_01.html
Parte HTTP de lo anterior, un archivo HTML
sesión_0003.web.html
HTML bidireccional coloreado
sesión_0003.part_01.jpeg
Parte HTTP de lo anterior, un archivo JPEG
sesión_0004.web.html
HTML bidireccional coloreado
sesión_0004.part_01.gif
Parte HTTP de lo anterior, un archivo GIF
sesión_0005.part_01.ftp-data.gz
Una transferencia FTP, un archivo gz.
Convenciones
sesión_*
Sesiones TCP
Arroyo_*
Secuencias UDP
icmp_ * Paquetes ICMP
index.html
Índice HTML
índice de texto
Índice de texto
índice.archivo
Índice de archivos solo para el modo de rehacer independiente
imagen.html
Informe HTML de imágenes
getpost.html
Informe HTML de solicitudes HTTP GET / POST
* .info Archivo de información que describe la sesión / transmisión
*.crudo Captura bidireccional de datos brutos (ordenados por tiempo)
* .raw1 Servidor de captura unidireccional sin procesar (ensamblado) -> cliente
* .raw2 Cliente-> servidor de captura unidireccional sin procesar (ensamblado)
*.repetición
Programa de repetición de sesiones (perl)
*.parcial.*
Captura parcial (tcpdump / snoop estaban al tanto de las caídas)
* .hex.html
Volcado hexadecimal bidireccional, renderizado en HTML coloreado
* .hex.text
Volcado hexadecimal bidireccional en texto sin formato
* .X11.replay
Script de repetición X11 (habla X11)
* .textX11.replay
Script de reproducción de texto comunicado X11 (solo texto)
* .textX11.html
Informe de texto bidireccional, renderizado en HTML rojo / azul
*.llave de datos
Archivo de datos de retardo de pulsación de tecla. Utilizado para análisis SSH.
MODOS
NORMAL p.ej "lector del caos en archivo", aquí es donde se creó previamente un archivo tcpdump / snoop
y lector del caos lo lee y lo procesa.
Standalone una vez
p.ej "lector del caos -s 10 "aquí es donde lector del caos ejecuta tcpdump / snoop y genera
el archivo de registro, en este caso durante 10 i minutos, y luego procesa el resultado. Algunos
Es posible que los sistemas operativos no tengan tcpdump o snoop disponibles, por lo que esto no funcionará (en su lugar, puede
poder obtener Ethereal, ejecutarlo, guardarlo en un archivo y luego usar el modo normal). Hay un
master index.html y el informe index.html en un sub dir, que es del formato
out_YYYYMMDD-hhmm, por ejemplo, "out_20031003-2221".
Ser único, muchos
p.ej "lector del caos -S 5,12 ", aquí es donde lector del caos ejecuta tcpdump / snoop y
genera muchos archivos de registro, en este caso muestrea 12 veces durante 5 minutos cada una.
Mientras se ejecuta, se puede ver el archivo index.html maestro para ver el progreso, que
enlaces a informes index.html menores en cada subdirectorio.
Ser único, rehacer
p.ej "lector del caos -y -z", (los -z), aquí es donde se realizó una captura independiente
realizado anteriormente, y ahora le gustaría volver a procesar los registros, tal vez con
diferentes opciones (en este caso, "-y"). Lee index.file para determinar qué
capturar registros para leer.
Ser único, sin fin
p.ej "lector del caos -S 5 ", como muchos independientes, pero se ejecuta para siempre (si alguna vez tuviste el
¿necesitar?). ¡Cuida tu espacio en disco!
Nota: este es un trabajo en progreso, parte del código está un poco sin pulir.
CONSEJOS
· Correr lector del caos en un directorio vacío.
· Crea pequeños volcados de paquetes. Chaosreader usa alrededor de 5 veces el tamaño de volcado en memoria. A 100 Mb
archivo podría necesitar 500 Mb de RAM para procesarse.
· Su tcpdump puede permitir "-s0"(paquete completo) en lugar de"-s9000".
· Tenga cuidado de no utilizar demasiado espacio en disco, especialmente en el modo autónomo.
· Si captura demasiadas conexiones pequeñas que dan un index.html enorme, intente usar el -m
opción para ignorar pequeñas conexiones. p.ej "-m 1k ".
· Es posible que los registros de rastreo funcionen mejor. Los registros de Snoop se basan en RFC1761, sin embargo, hay
muchas variantes de tcpdump / libpcap y este programa no puede leerlas todas. Si usted tiene
Ethereal puede crear registros de rastreo durante la opción "guardar como". En Solaris, utilice "snoop
-o archivo de registro".
· Es posible que los registros de tcpdump no sean portátiles entre los sistemas operativos que utilizan marcas de tiempo o
endiano
· Los registros se crean mejor en un sistema de archivos de memoria para la velocidad, generalmente / tmp.
· Para las reproducciones de X11 o VNC, primero practique reproduciendo una sesión capturada reciente de su
propio. El mayor problema es la profundidad del color, su pantalla debe coincidir con la captura. Para X11
verifique la autenticación (xhost +), para VNC verifique las opciones de los visores (-8bit, "Hextil",
...)
· El análisis SSH se puede realizar con el programa "sshkeydata" como se demuestra en
http://www.brendangregg.com/sshanalysis.html . lector del caos proporciona los archivos de entrada
(* .keydata) que sshkeydata analiza.
Use chaosreader en línea usando los servicios de onworks.net
