Questo è il comando caosreader che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici postazioni di lavoro online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
lettore del caos - traccia le sessioni di rete ed esportale in formato html
SINOSSI
lettore del caos
lettore del caos [-aehikqrvxAHIRTUXY] [-D dir]
[-b porto[,...]] [-B porta[,...]]
[-j Indirizzo IP[,...]] [-J Indirizzo IP[,...]]
[-l porto[,...]] [-L porto[,...]] [-m byte[k]]
[-M byte[k]] [-o "tempo"|"dimensione"|"tipo"|"ip"]
[-p porto[,...]] [-P porta[,...]]
infilare [infile2 ...]
lettore del caos -s [min] | -S [min[,contare]]
[-z] [-f 'filtro']
DESCRIZIONE
Chaosreader traccia le sessioni TCP/UDP/altri e recupera i dati dell'applicazione da snoop o
log di tcpdump. Questo è un tipo di programma "any-snarf", poiché recupera sessioni telnet, FTP
file, trasferimenti HTTP (HTML, GIF, JPEG ecc.) ed e-mail SMTP dai dati acquisiti all'interno
registri del traffico di rete. Viene creato un file indice html che collega a tutta la sessione
dettagli, inclusi programmi di riproduzione in tempo reale per sessioni telnet, rlogin, IRC, X11 e VNC.
Rapporti di Chaosreader come rapporti di immagini e rapporti di contenuto HTTP GET/POST.
Chaosreader può anche essere eseguito in modalità standalone, dove invoca tcpdump per creare il log
file e poi li elabora.
VERSIONI
-un, --applicazione
Crea file di sessione dell'applicazione (impostazione predefinita)
-e, --Tutto quanto
Crea file HTML a 2 vie ed esadecimali per tutto
-h Stampa un breve aiuto
--Aiuto Stampa l'aiuto dettagliato (questo) e la versione
--aiuto2
Stampa enorme aiuto
-io, --Informazioni
Crea file di informazioni
-Q, --silenzioso
Silenzioso, nessuna uscita sullo schermo
-R, --crudo
Crea file raw
-in, --verboso
Verbose - Crea TUTTI i file .. (tranne -e)
-X, --indice
Crea file indice (impostazione predefinita)
-UN, --nessuna applicazione
Escludi i file della sessione dell'applicazione
-H, --esadecimale
Includi dump esadecimali (lento)
-IO, --noinfo
Escludi file di informazioni
-R, --ora
Escludi file non elaborati
-T, --notcp
Escludi traffico TCP
-U, --noudp
Escludi traffico UDP
-Sì, --noicmp
Escludi traffico ICMP
-X, --noindex
Escludi file indice
-K, --dati chiave
Crea file extra per l'analisi dei tasti
-D dir, --dir dir
Invia tutti i file in questa directory
-b 25,79 --playtcp 25,79
riprodurre anche queste porte TCP (riproduzione)
-B 36,42 --playudp 36,42
riprodurre anche queste porte UDP (riproduzione)
-l 7,79 --htmltcp 7,79
Crea HTML anche per queste porte TCP
-L 7,123 --htmludp 7,123
Crea HTML anche per queste porte UDP
-m 1k, --min 1k
Dimensione minima della connessione da salvare ("k" per Kb)
-M 1024k, --max 1k
Dimensione massima della connessione da salvare ("k" per Kb)
-o dimensione, --ordinare Taglia
ordinamento: ora/dimensione/tipo/ip (ora predefinita)
-p 21,23 --porta 21,23
Esamina solo queste porte (TCP e UDP)
-P 80,81 --nessun porto 80,81
Escludi queste porte (TCP e UDP)
-s 5, --runonce 5
Indipendente, autonomo. Esegui tcpdump/snoop per 5 min.
-S 5,10 --molti 5,10
Autonomo, molti. 10 campioni da 5 min ciascuno.
-S 5, --molti 5
Autonomo, infinito. Campioni di 5 minuti per sempre.
-z, --runredo
Da solo, ripeti. Rilegge i registri dell'ultima esecuzione.
-j 10.1.2.1 --ipadr 10.1.2.1
Esamina solo questi IP
-J 10.1.2.1 --noipadr 10.1.2.1
Escludi questi IP
-f 'porta 7 ', --filtro 'porta 7'
Con standalone, usa questo filtro dump.
USCITA FILE
index.html
Indice HTML (tutti i dettagli)
indice.testo
Indice di testo
file.indice
Indice dei file per la modalità di ripristino autonoma
immagine.html
Report HTML delle immagini
getpost.html
Report HTML delle richieste HTTP GET/POST
sessione_0001.info
File di informazioni che descrive la sessione TCP n. 1
sessione_0001.telnet.html
Acquisizione bidirezionale HTML colorata (in ordine di tempo)
sessione_0001.telnet.raw
Acquisizione bidirezionale di dati grezzi (in ordine di tempo)
sessione_0001.telnet.raw1
Acquisizione raw a una via (assemblata) server->client
sessione_0001.telnet.raw2
Acquisizione raw a una via (assemblata) client->server
sessione_0002.web.html
HTML bidirezionale colorato
sessione_0002.parte_01.html
Parte HTTP di quanto sopra, un file HTML
sessione_0003.web.html
HTML bidirezionale colorato
sessione_0003.part_01.jpeg
Parte HTTP di quanto sopra, un file JPEG
sessione_0004.web.html
HTML bidirezionale colorato
sessione_0004.parte_01.gif
Parte HTTP di quanto sopra, un file GIF
session_0005.part_01.ftp-data.gz
Un trasferimento FTP, un file gz.
CONVEGNI
sessione_*
Sessioni TCP
flusso_*
Stream UDP
icmp_* Pacchetti ICMP
index.html
Indice HTML
indice.testo
Indice del testo
file.indice
Indice file solo per la modalità di ripristino autonoma
immagine.html
Report HTML delle immagini
getpost.html
Report HTML delle richieste HTTP GET/POST
*.Informazioni File di informazioni che descrive la sessione/stream
*.crudo Acquisizione bidirezionale di dati grezzi (in ordine di tempo)
*.raw1 Acquisizione raw a una via (assemblata) server->client
*.raw2 Acquisizione raw a una via (assemblata) client->server
*.rigiocare
Programma di riproduzione della sessione (perl)
*.parziale.*
Acquisizione parziale (tcpdump/snoop erano a conoscenza di cadute)
*.hex.html
Dump esadecimale a 2 vie, reso in HTML colorato
*.testo.esadecimale
Dump esadecimale a 2 vie in testo normale
*.X11.riproduzione
Script di replay X11 (parla X11)
*.textX11.replay
Script di riproduzione del testo comunicato da X11 (solo testo)
*.testoX11.html
Rapporto di testo a 2 vie, reso in HTML rosso/blu
*.dati chiave
File di dati di ritardo di battitura. Utilizzato per l'analisi SSH.
MODALITA '
Normale per esempio "lettore del caos infilare", qui è dove è stato creato in precedenza un file tcpdump/snoop
ed lettore del caos lo legge e lo elabora.
Indipendente, autonomo una volta
per esempio "lettore del caos -s 10" ecco dove lettore del caos esegue tcpdump/snoop e genera
il file di registro, in questo caso per 10 i minuti, quindi elabora il risultato. Alcuni
I sistemi operativi potrebbero non avere tcpdump o snoop disponibili quindi questo non funzionerà (invece puoi
essere in grado di ottenere Ethereal, eseguirlo, salvare in un file, quindi utilizzare la modalità normale). C'è un
master index.html e il report index.html in un sub dir, che è del formato
out_YYYYMMDD-hhmm, ad esempio "out_20031003-2221".
Indipendente, autonomo, molti
per esempio "lettore del caos -S 5,12", ecco dove lettore del caos esegue tcpdump/snoop e
genera molti file di log, in questo caso campiona 12 volte per 5 minuti ciascuna.
Mentre è in esecuzione, è possibile visualizzare il file index.html principale per osservare i progressi, il che
collegamenti a rapporti index.html minori in ciascuna sottodirectory.
Indipendente, autonomo, rifare
per esempio "lettore del caos -e -z", (il -z), è qui che c'era un'acquisizione autonoma
eseguito in precedenza - e ora vorresti rielaborare i registri - magari con
diverse opzioni (in questo caso, "-e"). Legge index.file per determinare quale
acquisire i log da leggere.
Indipendente, autonomo, senza fine
per esempio "lettore del caos -S 5", come molti standalone - ma funziona per sempre (se hai mai avuto il
bisogno?). Guarda il tuo spazio su disco!
Nota: questo è un lavoro in corso, parte del codice è un po' rozzo.
CONSIGLI
· Correre lettore del caos in una directory vuota.
· Creare piccoli dump di pacchetti. Chaosreader utilizza circa 5 volte la dimensione del dump in memoria. A 100 Mb
il file potrebbe richiedere 500 MB di RAM per essere elaborato.
· Il tuo tcpdump potrebbe consentire "-s0" (intero pacchetto) invece di "-s9000".
· Fare attenzione a non utilizzare troppo spazio su disco, soprattutto in modalità standalone.
· Se catturi troppe piccole connessioni dando un enorme index.html, prova a usare il -m
opzione per ignorare le piccole connessioni. per esempio "-m 1k".
· I registri snoop potrebbero effettivamente funzionare meglio. I registri Snoop sono basati su RFC1761, tuttavia ci sono
molte varianti di tcpdump/libpcap e questo programma non può leggerle tutte. Se hai
Etereo puoi creare registri di snoop durante l'opzione "salva con nome". Su Solaris usa "snoop
-o file di registro".
· I log di tcpdump potrebbero non essere portabili tra sistemi operativi che utilizzano timestamp di dimensioni diverse o
endiano.
· I log vengono creati al meglio in un filesystem di memoria per la velocità, solitamente /tmp.
· Per le riproduzioni X11 o VNC, prima esercitati riproducendo una sessione acquisita di recente del tuo
possedere. Il problema più grande è la profondità del colore, lo schermo deve corrispondere alla cattura. Per X11
controlla l'autenticazione (xhost +), per VNC controlla le opzioni dei visualizzatori (-8 bit, "Estile",
...)
· L'analisi SSH può essere eseguita con il programma "sshkeydata" come dimostrato su
http://www.brendangregg.com/sshanalysis.html . lettore del caos fornisce i file di input
(*.keydata) analizzato da sshkeydata.
Usa caosreader online utilizzando i servizi onworks.net
