זהו קורא הכאוס הפקודות שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
קורא כאוס - עקוב אחר הפעלות רשת וייצא אותה לפורמט HTML
תַקצִיר
קורא כאוס
קורא כאוס [-aehikqrvxAHIRTUXY] [-D dir]
[-b נמל[,...]] [-B נמל[,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l נמל[,...]] [-L נמל[,...]] [-m בתים[k]]
[-M בתים[k]] [-o "זמן"|"גודל"|"סוג"|"ip"]
[-p נמל[,...]] [-P נמל[,...]]
בקובץ [infile2 ...]
קורא כאוס -s [דקות] | -S [דקות[,לספור]]
[-z] [-f 'לְסַנֵן']
תיאור
Chaosreader עוקב אחר הפעלות של TCP/UDP/אחרים ומביא נתוני אפליקציה מ- snoop or
יומני tcpdump. זהו סוג של תוכנית "כל-snarf", שכן היא תביא הפעלות של Telnet, FTP
קבצים, העברות HTTP (HTML, GIF, JPEG וכו') והודעות דוא"ל SMTP מהנתונים שנלכדו בפנים
יומני תעבורה ברשת. נוצר קובץ אינדקס HTML שמקשר לכל ההפעלה
פרטים, כולל תוכניות שידור חוזר בזמן אמת עבור הפעלות של telnet, rlogin, IRC, X11 ו-VNC.
דוחות Chaosreader כגון דוחות תמונות ודוחות תוכן HTTP GET/POST.
Chaosreader יכול לפעול גם במצב עצמאי, שבו הוא מפעיל את tcpdump כדי ליצור את היומן
קבצים ולאחר מכן מעבד אותם.
אפשרויות
-א, --יישום
צור קובצי הפעלה של יישום (ברירת מחדל)
, --הכל
צור HTML דו-כיווני וקבצי hex לכל דבר
-h הדפס עזרה קצרה
- עזרה הדפס עזרה מילולית (זה) וגרסה
--עזרה2
הדפס עזרה מאסיבית
-אני, - מידע
צור קובץ מידע
-q, --שֶׁקֶט
שקט, אין פלט למסך
-ר, --גלם
צור קבצים גולמיים
-ב, --מִלוּלִי
מילולית - צור את כל הקבצים .. (למעט -e)
-איקס, --אינדקס
צור קבצי אינדקס (ברירת מחדל)
-א, --אין יישום
אל תכלול קבצי הפעלה של יישומים
-ח, --הקס
כלול השלכות hex (איטיות)
-אני, --אין מידע
אל תכלול קובצי מידע
-ר, --נורב
אל תכלול קבצים גולמיים
-T, --notcp
אל תכלול תעבורת TCP
-יו, --noudp
אל תכלול תעבורת UDP
-י, --noicmp
אל תכלול תעבורת ICMP
-איקס, --noindex
אל תכלול קבצי אינדקס
-ק, --נתונים מפתח
צור קבצים נוספים לניתוח הקשות
-D dir, --dir dir
פלט את כל הקבצים לספרייה זו
-b 25,79, --playtcp 25,79
הפעל מחדש גם את יציאות ה-TCP הללו (השמעה)
-B 36,42, --playudp 36,42
הפעל מחדש גם את יציאות ה-UDP הללו (השמעה)
-l 7,79, --htmltcp 7,79
צור HTML גם עבור יציאות TCP אלה
-L 7,123, --htmludp 7,123
צור HTML גם עבור יציאות UDP אלה
-m 1k, --דקה 1k
גודל מינימלי של חיבור לשמירה ("k" עבור Kb)
-M 1024k, --מקסימום 1k
גודל מקסימלי של חיבור לשמירה ("k" עבור Kb)
-o גודל, --סוג גודל
סדר מיון: זמן/גודל/סוג/ip (זמן ברירת מחדל)
-p 21,23, --נמל 21,23
בדוק רק את היציאות הללו (TCP ו-UDP)
-P 80,81, --noport 80,81
אל תכלול יציאות אלה (TCP ו-UDP)
-s 5, --רנון 5
עצמאי. הפעל את tcpdump/snoop עבור 5 דקות.
-S 5,10, --רוץ רבים 5,10
עצמאי, רבים. 10 דוגמאות של 5 דקות כל אחד.
-S 5, --רוץ רבים 5
עצמאי, אינסופי. דגימות של 5 דקות לנצח.
-ז, --runredo
עצמאי, מחדש. קורא מחדש את יומני הריצה האחרונה.
-j 10.1.2.1, --ipaddr 10.1.2.1
בדוק רק את ה-IP האלה
-J 10.1.2.1, --noipaddr 10.1.2.1
אל תכלול כתובות IP אלו
-f 'נמל 7', --לְסַנֵן 'נמל 7'
עם עצמאי, השתמש במסנן dump זה.
תפוקה קבצים
index.html
אינדקס HTML (פרטים מלאים)
index.text
אינדקס טקסט
index.file
אינדקס קובץ למצב ביצוע עצמאי
image.html
דוח HTML של תמונות
getpost.html
דוח HTML של בקשות HTTP GET/POST
session_0001.info
קובץ מידע המתאר הפעלת TCP מס' 1
session_0001.telnet.html
לכידה דו-כיוונית בצבע HTML (מוין בזמן)
session_0001.telnet.raw
לכידה דו-כיוונית של נתונים גולמיים (מוין בזמן)
session_0001.telnet.raw1
לכידה חד-כיוונית גולמית (מורכב) שרת->לקוח
session_0001.telnet.raw2
לכידה חד-כיוונית גולמית (מורכב) לקוח->שרת
session_0002.web.html
HTML צבעוני דו כיווני
session_0002.part_01.html
חלק HTTP של האמור לעיל, קובץ HTML
session_0003.web.html
HTML צבעוני דו כיווני
session_0003.part_01.jpeg
חלק HTTP של האמור לעיל, קובץ JPEG
session_0004.web.html
HTML צבעוני דו כיווני
session_0004.part_01.gif
חלק HTTP של האמור לעיל, קובץ GIF
session_0005.part_01.ftp-data.gz
העברת FTP, קובץ gz.
מוסכמות
מוֹשָׁב_*
הפעלות TCP
זרם_*
זרמי UDP
icmp_* מנות ICMP
index.html
אינדקס HTML
index.text
אינדקס טקסט
index.file
אינדקס קבצים עבור מצב ביצוע עצמאי בלבד
image.html
דוח HTML של תמונות
getpost.html
דוח HTML של בקשות HTTP GET/POST
*.info קובץ מידע המתאר את ההפעלה/הזרם
*.גלם לכידה דו-כיוונית של נתונים גולמיים (מוין בזמן)
*.raw1 לכידה חד-כיוונית גולמית (מורכב) שרת->לקוח
*.raw2 לכידה חד-כיוונית גולמית (מורכב) לקוח->שרת
*.שידור חוזר
תוכנית הפעלה חוזרת (perl)
*.חלקי.*
לכידה חלקית (tcpdump/snoop היו מודעים לנפילות)
*.hex.html
dump Hex דו-כיווני, מעובד ב-HTML צבעוני
*.hex.text
dump Hex דו-כיווני בטקסט רגיל
*.X11.שידור חוזר
תסריט שידור חוזר של X11 (שיחות X11)
*.textX11.replay
X11 העביר תסריט להפעלה חוזרת של טקסט (טקסט בלבד)
*.textX11.html
דוח טקסט דו-כיווני, מוצג ב-HTML אדום/כחול
*.keydata
קובץ נתוני עיכוב בלחיצת מקש. משמש לניתוח SSH.
מצבים
נוֹרמָלִי למשל"קורא כאוס בקובץ", זה המקום שבו נוצר בעבר קובץ tcpdump/snoop
ו קורא כאוס קורא ומעבד אותו.
עצמאי פעם
למשל"קורא כאוס -s 10" זה המקום קורא כאוס מריץ את tcpdump/snoop ומייצר
קובץ היומן, במקרה זה למשך 10 דקות, ולאחר מכן מעבד את התוצאה. כמה
ייתכן שלמערכת ההפעלה אין tcpdump או snoop זמינים אז זה לא יעבוד (במקום זאת אתה יכול
להיות מסוגל להשיג את Ethereal, להפעיל אותו, לשמור בקובץ ואז להשתמש במצב רגיל). יש
מאסטר index.html והדוח index.html בתת dir, שהוא בפורמט
out_YYYYMMDD-hhmm, למשל "out_20031003-2221".
עצמאי, רב
למשל"קורא כאוס -S 5,12", זה המקום קורא כאוס מפעיל את tcpdump/snoop ו
יוצר קובצי יומן רבים, במקרה זה הוא דוגם 12 פעמים במשך 5 דקות כל אחד.
בזמן שזה פועל, ניתן לראות את המאסטר index.html כדי לצפות בהתקדמות, אשר
קישורים לדוחות index.html קטנים בכל ספריית משנה.
עצמאי, מוכן
למשל"קורא כאוס -ve -z", (ה -z), כאן הייתה לכידה עצמאית
בוצע בעבר - ועכשיו תרצה לעבד מחדש את היומנים - אולי עם
אפשרויות שונות (במקרה זה, "-ve"). זה קורא index.file כדי לקבוע איזה
ללכוד יומנים לקריאה.
עצמאי, אין סופי
למשל"קורא כאוס -S 5", כמו רבים עצמאיים - אבל פועל לנצח (אם אי פעם היה לך את
צוֹרֶך?). צפה בשטח הדיסק שלך!
הערה: זו עבודה בתהליך, חלק מהקוד מעט לא מלוטש.
עצות
· רוץ קורא כאוס בספרייה ריקה.
· צור מזבלות קטנות של מנות. Chaosreader משתמש בערך פי 5 מגודל ה-dump בזיכרון. 100Mb
הקובץ עשוי להזדקק ל-500Mb של זיכרון RAM כדי לעבד.
· tcpdump שלך עשוי לאפשר "-S0"(החבילה השלמה) במקום "-S9000".
· היזהרו משימוש רב מדי בשטח דיסק, במיוחד במצב עצמאי.
· אם אתה לוכד יותר מדי חיבורים קטנים נותן index.html ענק, נסה להשתמש ב -m
אפשרות להתעלם מקשרים קטנים. למשל"-m 1k".
· יומני חטטנות עשויים למעשה לעבוד טוב יותר. יומני Snoop מבוססים על RFC1761, אולם יש
מגוון רחב של tcpdump/libpcap ותוכנית זו לא יכולה לקרוא את כולם. אם יש לך
אתרי אתה יכול ליצור יומני סנופ במהלך האפשרות "שמור בשם". ב-Solaris השתמש ב-"snoop
-o קובץ לוג".
· ייתכן שיומני tcpdump לא יהיו ניידים בין מערכות הפעלה המשתמשות בחותמות זמן בגדלים שונים או
אנדיאן.
· יומנים נוצרים בצורה הטובה ביותר במערכת קבצים בזיכרון עבור מהירות, בדרך כלל /tmp.
· עבור השמעות X11 או VNC, תחילה תרגל על ידי השמעה חוזרת של סשן שצולם לאחרונה שלך
שֶׁלוֹ. הבעיה הגדולה ביותר היא עומק הצבע, המסך שלך חייב להתאים ללכידה. עבור X11
בדוק אימות (xhost +), עבור VNC בדוק את אפשרויות הצופים (-8 ביט, "הקסטיל",
...)
· ניתן לבצע ניתוח SSH עם תוכנית "sshkeydata" כפי שהודגם ב
http://www.brendangregg.com/sshanalysis.html . קורא כאוס מספק את קבצי הקלט
(*.keydata) ש-sshkeydata מנתח.
השתמש ב-chaosreader מקוון באמצעות שירותי onworks.net
