Il s'agit de la commande chaosreader qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
lecteur de chaos - tracer les sessions réseau et l'exporter au format html
SYNOPSIS
lecteur de chaos
lecteur de chaos [-aehikqrvxAHIRTUXY] [-D dir]
[-b Port[,...]] [-B Port[,...]]
[-j Adresse IP[,...]] [-J Adresse IP[,...]]
[-l Port[,...]] [-L Port[,...]] [-m octets[k]]
[-M octets[k]] [-o "heure"|"taille"|"type"|"ip"]
[-p Port[,...]] [-P Port[,...]]
dans le fichier [fichier d'entrée2 ...]
lecteur de chaos -s [min] | -S [min[,compter]]
[-z] [-f 'filtre']
DESCRIPTION
Chaosreader trace les sessions TCP/UDP/autres et récupère les données d'application de snoop ou
journaux tcpdump. Il s'agit d'un type de programme "any-snarf", car il récupère les sessions telnet, FTP
fichiers, transferts HTTP (HTML, GIF, JPEG, etc.) et e-mails SMTP à partir des données capturées à l'intérieur
journaux de trafic réseau. Un fichier d'index html est créé pour renvoyer à toutes les sessions
détails, y compris les programmes de relecture en temps réel pour les sessions telnet, rlogin, IRC, X11 et VNC.
Rapports Chaosreader tels que les rapports d'images et les rapports de contenu HTTP GET/POST.
Chaosreader peut également fonctionner en mode autonome, où il appelle tcpdump pour créer le journal
fichiers, puis les traite.
OPTIONS
-une, --application
Créer des fichiers de session d'application (par défaut)
-e, --tout
Créez des fichiers HTML bidirectionnels et hexadécimaux pour tout
-h Imprimer une brève aide
--Aidez-moi Imprimer l'aide détaillée (ceci) et la version
--aide2
Imprimer l'aide massive
-je, --Info
Créer un fichier d'informations
-q, --silencieux
Silencieux, pas de sortie à l'écran
-r, --cru
Créer des fichiers bruts
-dans, --verbeux
Verbose - Créer TOUS les fichiers .. (sauf -e)
-X, --indice
Créer des fichiers d'index (par défaut)
-UNE, --pas d'application
Exclure les fichiers de session d'application
-H, --hexadécimal
Inclure les vidages hexadécimaux (lent)
-JE, --pas d'information
Exclure les fichiers d'informations
-R, --noraw
Exclure les fichiers bruts
-T, --notcp
Exclure le trafic TCP
-U, --noudp
Exclure le trafic UDP
-O, --noicmp
Exclure le trafic ICMP
-X, --noindex
Exclure les fichiers d'index
-k, --données clé
Créer des fichiers supplémentaires pour l'analyse des frappes
-D dir, --dir dir
Sortir tous les fichiers dans ce répertoire
-b 25,79 --playtcp 25,79
rejouer également ces ports TCP (lecture)
-B 36,42 --playudp 36,42
rejouer également ces ports UDP (lecture)
-l 7,79 --htmltcp 7,79
Créez également du code HTML pour ces ports TCP
-L 7,123 --htmludp 7,123
Créez également du HTML pour ces ports UDP
-m 1k, --min 1k
Taille minimale de connexion à enregistrer ("k" pour Ko)
-M 1024k, --maximum 1k
Taille max de connexion à sauvegarder ("k" pour Ko)
-o Taille, --sorte taille
Ordre de tri : heure/taille/type/ip (heure par défaut)
-p 21,23 --Port 21,23
Examinez uniquement ces ports (TCP et UDP)
-P 80,81 --pas de port 80,81
Exclure ces ports (TCP et UDP)
-s 5, --exécuter une fois 5
Autonome. Exécutez tcpdump/snoop pendant 5 min.
-S 5,10 --runmany 5,10
Autonome, beaucoup. 10 échantillons de 5 min chacun.
-S 5, --runmany 5
Autonome, sans fin. 5 min d'échantillons pour toujours.
-z, --runredo
Autonome, refaire. Relit les journaux de la dernière exécution.
-j 10.1.2.1 --adresse IP 10.1.2.1
N'examinez que ces IP
-J 10.1.2.1 --noipaddr 10.1.2.1
Exclure ces IP
-f 'Port 7 ', --filtre 'Port 7'
En mode autonome, utilisez ce filtre de vidage.
SORTIE DES DOSSIERS
index.html
Index HTML (détails complets)
index.texte
Index de texte
fichier.index
Index de fichier pour le mode de restauration autonome
image.html
Rapport HTML d'images
getpost.html
Rapport HTML des requêtes HTTP GET/POST
session_0001.info
Fichier d'informations décrivant la session TCP #1
session_0001.telnet.html
Capture bidirectionnelle en couleur HTML (triée par heure)
session_0001.telnet.raw
Capture bidirectionnelle des données brutes (triées par heure)
session_0001.telnet.raw1
Serveur de capture unidirectionnel brut (assemblé) -> client
session_0001.telnet.raw2
Capture à 1 voie brute (assemblée) client->serveur
session_0002.web.html
Couleur HTML bidirectionnelle
session_0002.part_01.html
Partie HTTP de ce qui précède, un fichier HTML
session_0003.web.html
Couleur HTML bidirectionnelle
session_0003.part_01.jpeg
Partie HTTP de ce qui précède, un fichier JPEG
session_0004.web.html
Couleur HTML bidirectionnelle
session_0004.part_01.gif
Partie HTTP de ce qui précède, un fichier GIF
session_0005.part_01.ftp-data.gz
Un transfert FTP, un fichier gz.
CONVENTIONS
session_*
Sessions TCP
flux_*
Flux UDP
icmp_* Paquets ICMP
index.html
Index HTML
index.texte
Index de texte
fichier.index
Index de fichier pour le mode de restauration autonome uniquement
image.html
Rapport HTML d'images
getpost.html
Rapport HTML des requêtes HTTP GET/POST
*.Info Fichier d'informations décrivant la session/le flux
*.cru Capture bidirectionnelle des données brutes (triées par heure)
*.raw1 Serveur de capture unidirectionnel brut (assemblé) -> client
*.raw2 Capture à 1 voie brute (assemblée) client->serveur
*.rejouer
Programme de relecture de session (perl)
*.partiel.*
Capture partielle (tcpdump/snoop étaient au courant des baisses)
*.hex.html
Dump Hex bidirectionnel, rendu en HTML coloré
*.hex.texte
Dump Hex bidirectionnel en texte brut
*.X11.relecture
Script de relecture X11 (pourparlers X11)
*.textX11.replay
Script de relecture de texte communiqué par X11 (texte uniquement)
*.textX11.html
Rapport texte bidirectionnel, rendu en HTML rouge/bleu
*.données clé
Fichier de données de retard de frappe. Utilisé pour l'analyse SSH.
MODES
Normal par exemple "lecteur de chaos dans le fichier", c'est ici qu'un fichier tcpdump/snoop a été créé précédemment
ainsi que lecteur de chaos le lit et le traite.
Standalone une fois
par exemple "lecteur de chaos -s 10" c'est ici lecteur de chaos exécute tcpdump/snoop et génère
le fichier journal, dans ce cas pendant 10 i minutes, puis traite le résultat. Certains
Les systèmes d'exploitation peuvent ne pas avoir tcpdump ou snoop disponibles, donc cela ne fonctionnera pas (à la place, vous pouvez
pouvoir obtenir Ethereal, l'exécuter, enregistrer dans un fichier, puis utiliser le mode normal). Il y a un
master index.html et le rapport index.html dans un sous dir, qui est du format
out_YYYYMMDD-hhmm, par exemple "out_20031003-2221".
Autonome, de nombreuses
par exemple "lecteur de chaos -S 5,12", c'est ici lecteur de chaos lance tcpdump/snoop et
génère de nombreux fichiers journaux, dans ce cas, il échantillonne 12 fois pendant 5 minutes chacun.
Pendant l'exécution, le fichier master index.html peut être consulté pour suivre la progression, ce qui
des liens vers des rapports mineurs index.html dans chaque sous-répertoire.
Autonome, refaire
par exemple "lecteur de chaos -ve -z", (les -z), c'est là qu'une capture autonome a été
précédemment effectué - et maintenant vous souhaitez retraiter les journaux - peut-être avec
différentes options (dans ce cas, "-ve"). Il lit index.file pour déterminer quel
capturer les journaux à lire.
Autonome, interminable
par exemple "lecteur de chaos -S 5", comme de nombreux autonomes - mais s'exécute pour toujours (si vous avez déjà eu le
avoir besoin?). Surveillez votre espace disque !
Remarque : il s'agit d'un travail en cours, une partie du code est un peu grossière.
CONSEILS
· Courir lecteur de chaos dans un répertoire vide.
· Créer de petits vidages de paquets. Chaosreader utilise environ 5 fois la taille du vidage en mémoire. Un 100Mo
Le fichier peut avoir besoin de 500 Mo de RAM pour être traité.
· Votre tcpdump peut autoriser "-s0" (paquet entier) au lieu de "-s9000".
· Attention à ne pas utiliser trop d'espace disque, surtout en mode autonome.
· Si vous capturez trop de petites connexions donnant un énorme index.html, essayez d'utiliser le -m
option pour ignorer les petites connexions. par exemple "-m 1k".
· les journaux de surveillance peuvent en fait mieux fonctionner. Les journaux Snoop sont basés sur la RFC1761, mais il existe
de nombreuses variantes de tcpdump/libpcap et ce programme ne peut pas toutes les lire. Si tu as
Ethereal, vous pouvez créer des journaux de surveillance pendant l'option "enregistrer sous". Sur Solaris, utilisez "snoop
-o fichier journal".
· les journaux tcpdump peuvent ne pas être portables entre les systèmes d'exploitation qui utilisent des horodatages de tailles différentes ou
boutiste.
· Les journaux sont mieux créés dans un système de fichiers mémoire pour la vitesse, généralement /tmp.
· Pour les lectures X11 ou VNC, commencez par vous entraîner en rejouant une récente session capturée de votre
posséder. Le plus gros problème est la profondeur des couleurs, votre écran doit correspondre à la capture. Pour X11
vérifier l'authentification (xhost +), pour VNC vérifier les options des visionneuses (-8bit, "Hextile",
...)
· L'analyse SSH peut être effectuée avec le programme "sshkeydata" comme démontré sur
http://www.brendangregg.com/sshanalysis.html . lecteur de chaos fournit les fichiers d'entrée
(*.keydata) que sshkeydata analyse.
Utilisez chaosreader en ligne en utilisant les services onworks.net
