chaosreader - آنلاین در ابر

برنامه:

نام

آشوب خوان - ردیابی جلسات شبکه و صادرات آن به فرمت html

خلاصه

آشوب خوان

آشوب خوان [-aehikqrvxAHIRTUXY] [-D دیر]
[-b بندر[،...]] [-B بندر[،...]]
[-j IPaddr[،...]] [-J IPaddr[،...]]
[-l بندر[،...]] [-L بندر[،...]] [-m بایت[k]]
[-M بایت[k]] [-o "زمان"|"اندازه"|"نوع"|"ip"]
[-p بندر[،...]] [-P بندر[،...]]
پرونده [infile2 ...]

آشوب خوان -s [دقیقه] | -S [دقیقه[،شمردن]]
[-z] [-f 'فیلتر']

شرح

Chaosreader جلسات TCP/UDP/دیگر را ردیابی می کند و داده های برنامه را از snoop یا واکشی می کند.
لاگ های tcpdump. این یک نوع برنامه "any-snarf" است، زیرا جلسات telnet، FTP را واکشی می کند.
فایل ها، انتقال HTTP (HTML، GIF، JPEG و غیره) و ایمیل های SMTP از داده های گرفته شده در داخل
سیاهههای مربوط به ترافیک شبکه یک فایل فهرست html ایجاد می شود که به تمام جلسه پیوند می دهد
جزئیات، از جمله برنامه های پخش بیدرنگ برای جلسات شبکه راه دور، rlogin، IRC، X11 و VNC.
گزارش های Chaosreader مانند گزارش های تصویری و گزارش های محتوای HTTP GET/POST.

Chaosreader همچنین می تواند در حالت مستقل اجرا شود، جایی که tcpdump را برای ایجاد گزارش فراخوانی می کند.
فایل ها و سپس آنها را پردازش می کند.

OPTIONS

-آ، --کاربرد
ایجاد فایل های جلسه برنامه (پیش فرض)

-ه ، --همه چيز
برای همه چیز فایل های 2 طرفه و هگز HTML ایجاد کنید

-h یک راهنما مختصر چاپ کنید

--کمک راهنمای پرمخاطب (این) و نسخه را چاپ کنید

-- help2
چاپ کمک عظیم

-من، -- اطلاعات
ایجاد فایل اطلاعات

-q، --ساکت
بی صدا، بدون خروجی به صفحه نمایش

-r، -- خام
فایل های خام بسازید

-v، -- پرحرف
Verbose - ایجاد همه فایل ها .. (به جز -e)

-ایکس، --فهرست مطالب
ایجاد فایل های فهرست (پیش فرض)

-آ، --بدون برنامه
حذف فایل های جلسه برنامه

-H، --هگز
شامل حفره های شش گوش (آهسته)

-من، -- بدون اطلاعات
حذف فایل های اطلاعاتی

-ر، --نوراو
حذف فایل های خام

-T، --notcp
ترافیک TCP را حذف کنید

-U، --noudp
ترافیک UDP را حذف کنید

-Y، --noicmp
ترافیک ICMP را حذف کنید

-ایکس، --noindex
حذف فایل های فهرست

-k، داده های کلیدی
فایل های اضافی برای تجزیه و تحلیل ضربه زدن به کلید ایجاد کنید

-D دیر, --دیر دیر
تمام فایل ها را در این دایرکتوری خروجی بگیرید

-b شماره ۱۰۲۹، --playtcp 25,79
این پورت های TCP را نیز دوباره پخش کنید (پخش)

-B شماره ۱۰۲۹، --playudp 36,42
این پورت های UDP را نیز دوباره پخش کنید (پخش)

-l شماره ۱۰۲۹، --htmltcp 7,79
برای این پورت های TCP نیز HTML ایجاد کنید

-L شماره ۱۰۲۹، --htmludp 7,123
برای این پورت های UDP نیز HTML ایجاد کنید

-m 1k ، -- دقیقه 1k
حداقل اندازه اتصال برای ذخیره ("k" برای کیلوبایت)

-M 1024k ، -- حداکثر 1k
حداکثر اندازه اتصال برای ذخیره ("k" برای کیلوبایت)

-o اندازه، --مرتب سازی اندازه
مرتب سازی ترتیب: زمان/اندازه/نوع/IP (زمان پیش فرض)

-p شماره ۱۰۲۹، --بندر 21,23
فقط این پورت ها (TCP & UDP) را بررسی کنید

-P شماره ۱۰۲۹، --نوپورت 80,81
این پورت‌ها (TCP و UDP) را حذف کنید

-s 5, -- runonce 5
مستقل. tcpdump/snoop را برای 5 اجرا کنید دقیقه.

-S شماره ۱۰۲۹، --تند 5,10
مستقل، بسیاری. 10 نمونه از 5 دقیقه هر یک از.

-S 5, --تند 5
مستقل، بی پایان نمونه های 5 دقیقه ای برای همیشه.

-z ، -- اجرا کردن
مستقل، دوباره انجام دهید. گزارش های آخرین اجرا را دوباره می خواند.

-j شماره ۱۰۲۹، --ipaddr 10.1.2.1
فقط این آی پی ها را بررسی کنید

-J شماره ۱۰۲۹، --noipaddr 10.1.2.1
این آی پی ها را حذف کنید

-f 'بندر 7 '، -- فیلتر 'بندر 7'
در حالت مستقل، از این فیلتر تخلیه استفاده کنید.

OUTPUT فایل ها

index.html به
فهرست Html (جزئیات کامل)

index.text
نمایه متن

index.file
فهرست فایل برای حالت انجام مجدد مستقل

image.html
گزارش HTML تصاویر

getpost.html
گزارش HTML درخواست های HTTP GET/POST

session_0001.info
فایل اطلاعاتی که جلسه TCP شماره 1 را توصیف می کند

session_0001.telnet.html
عکسبرداری دو طرفه رنگی HTML (مرتب شده با زمان)

session_0001.telnet.raw
ضبط دو طرفه داده خام (مرتب شده در زمان)

session_0001.telnet.raw1
ضبط خام یک طرفه (مونتاژ شده) سرور-> مشتری

session_0001.telnet.raw2
ضبط خام یک طرفه (مونتاژ شده) مشتری-> سرور

session_0002.web.html
HTML رنگی 2 طرفه

session_0002.part_01.html
بخش HTTP از بالا، یک فایل HTML

session_0003.web.html
HTML رنگی 2 طرفه

session_0003.part_01.jpeg
بخش HTTP از بالا، یک فایل JPEG

session_0004.web.html
HTML رنگی 2 طرفه

session_0004.part_01.gif
بخش HTTP از بالا، یک فایل GIF

session_0005.part_01.ftp-data.gz
یک انتقال FTP، یک فایل gz.

کنوانسیون ها

جلسه_*
جلسات TCP

جریان_*
UDP Streams

icmp_* بسته های ICMP

index.html به
فهرست HTML

index.text
فهرست متن

index.file
فهرست فایل فقط برای حالت انجام مجدد مستقل

image.html
گزارش HTML تصاویر

getpost.html
گزارش HTML درخواست های HTTP GET/POST

*.اطلاعات فایل اطلاعاتی که Session/Stream را توصیف می کند

*. خام ضبط دو طرفه داده خام (مرتب شده در زمان)

*. خام1 ضبط خام یک طرفه (مونتاژ شده) سرور-> مشتری

*. خام2 ضبط خام یک طرفه (مونتاژ شده) مشتری-> سرور

*.بازپخش
برنامه پخش مجدد جلسه (perl)

*.جزئي.*
گرفتن جزئی (tcpdump/snoop از ریزش آگاه بودند)

*.hex.html
دو طرفه Hex dump، ارائه شده در HTML رنگی

* متن هگزا
دو طرفه Hex dump در متن ساده

*.X11.بازپخش
اسکریپت پخش مجدد X11 (گفتگوهای X11)

*.textX11.replay
اسکریپت بازپخش متن ارتباطی X11 (فقط متن)

*.textX11.html
گزارش متنی دو طرفه، ارائه شده در HTML قرمز/آبی

*.keydata
فایل داده تاخیر ضربه زدن برای تجزیه و تحلیل SSH استفاده می شود.

حالت ها

معمولی به عنوان مثال "آشوب خوان پرونده"، اینجا جایی است که یک فایل tcpdump/snoop قبلا ایجاد شده است
و آشوب خوان آن را می خواند و پردازش می کند.

رایج یک بار
به عنوان مثال "آشوب خوان -s 10" اینجاست آشوب خوان tcpdump/snoop را اجرا می کند و تولید می کند
فایل log، در این مورد به مدت 10 دقیقه، و سپس نتیجه را پردازش می کند. مقداری
ممکن است سیستم‌عامل‌ها tcpdump یا snoop در دسترس نداشته باشند، بنابراین این کار نمی‌کند (در عوض شما ممکن است
بتوانید Ethereal را دریافت کنید، آن را اجرا کنید، در یک فایل ذخیره کنید، سپس از حالت عادی استفاده کنید). وجود دارد
master index.html و گزارش index.html در یک زیر دیر، که از قالب است
out_YYYYMMDD-hhmm، به عنوان مثال "out_20031003-2221".

مستقل، بسیاری
به عنوان مثال "آشوب خوان -S 5,12،XNUMX" اینجاست آشوب خوان tcpdump/snoop و را اجرا می کند
فایل های log زیادی تولید می کند، در این مورد 12 بار به مدت 5 دقیقه از هر کدام نمونه برداری می کند.
در حالی که این در حال اجرا است، master index.html را می توان برای مشاهده پیشرفت مشاهده کرد
پیوندهایی به گزارش های جزئی index.html در هر زیر فهرست.

مستقل، مجدد
به عنوان مثال "آشوب خوان -ve -z"، ( -z)، این جایی است که یک ضبط مستقل بود
قبلا انجام شده است - و اکنون می خواهید گزارش ها را دوباره پردازش کنید - شاید با
گزینه های مختلف (در این مورد، "-ve") index.file را می خواند تا تعیین کند کدام
گرفتن سیاهههای مربوط به خواندن.

مستقل، بی پایان
به عنوان مثال "آشوب خوان -S 5" مانند بسیاری از افراد مستقل - اما برای همیشه اجرا می شود (اگر تا به حال داشته باشید
نیاز داشتن؟). مراقب فضای دیسک خود باشید!

توجه: این یک کار در حال انجام است، برخی از کدها کمی پاک نشده است.

توصیه ها

· اجرا کن آشوب خوان در یک دایرکتوری خالی

· روگرفت بسته های کوچک ایجاد کنید. Chaosreader تقریباً 5 برابر اندازه dump در حافظه استفاده می کند. یک 100 مگابایت
فایل ممکن است به 500 مگابایت رم برای پردازش نیاز داشته باشد.

· tcpdump شما ممکن است اجازه دهد "-0" (کل بسته) به جای "-9000".

· مراقب استفاده از فضای زیاد دیسک، به خصوص حالت مستقل باشید.

· اگر تعداد زیادی از اتصالات کوچک را ثبت کرده اید که یک index.html بزرگ را نشان می دهد، سعی کنید از آن استفاده کنید -m
گزینه ای برای نادیده گرفتن اتصالات کوچک به عنوان مثال "-m 1k".

· سیاهههای مربوط به snoop ممکن است در واقع بهتر عمل کنند. لاگ های Snoop بر اساس RFC1761 هستند، اما وجود دارد
بسیاری از انواع tcpdump/libpcap و این برنامه نمی تواند همه آنها را بخواند. اگر تو داری
Ethereal می‌توانید در طول گزینه «ذخیره به‌عنوان» لاگ‌های snoop ایجاد کنید. در سولاریس از "snoop" استفاده کنید
-o ورود به سیستم فایل".

· لاگ های tcpdump ممکن است بین سیستم عامل هایی که از مهرهای زمانی با اندازه های مختلف استفاده می کنند قابل حمل نباشند یا
اندیان

· لاگ ها برای سرعت، معمولاً /tmp، بهتر است در فایل سیستم حافظه ایجاد شوند.

· برای پخش X11 یا VNC، ابتدا با پخش مجدد یک جلسه اخیر ضبط شده از خود تمرین کنید
خود را بزرگترین مشکل عمق رنگ است، صفحه شما باید با عکسبرداری مطابقت داشته باشد. برای X11
احراز هویت (xhost +) را بررسی کنید، برای VNC گزینه های بینندگان را بررسی کنید (-8 بیت, "Hextile",
...)

تجزیه و تحلیل SSH را می توان با برنامه "sshkeydata" همانطور که در نشان داده شده است انجام داد
http://www.brendangregg.com/sshanalysis.html . آشوب خوان فایل های ورودی را ارائه می دهد
(*.keydata) که sshkeydata تجزیه و تحلیل می کند.

با استفاده از خدمات onworks.net از chaosreader آنلاین استفاده کنید