これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド カオスリーダーです。
プログラム:
NAME
カオスリーダー - ネットワークセッションをトレースし、HTML形式にエクスポートします
SYNOPSIS
カオスリーダー
カオスリーダー [-aehikqrvxAHIRTUXY] [-D DIR]
[-b ポート[、...]] [-B ポート[、...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l ポート[、...]] [-L ポート[、...]] [-m バイト[k]]
[-M バイト[k]] [-o "時間"|"サイズ"|"タイプ"|"IP"]
[-p ポート[、...]] [-P ポート[、...]]
ファイル内 [インファイル2 ...]
カオスリーダー -s [分] | -S [分[、カウント]]
[-z] [-f 'フィルター']
DESCRIPTION
Chaosreader は、TCP/UDP/その他のセッションをトレースし、スヌープまたはアプリケーション データを取得します。
tcpdump ログ。 これは、Telnet セッション、FTP をフェッチするため、「any-snarf」プログラムの一種です。
ファイル、HTTP 転送 (HTML、GIF、JPEG など)、内部にキャプチャされたデータからの SMTP 電子メール
ネットワークトラフィックログ。 すべてのセッションにリンクする HTML インデックス ファイルが作成されます。
Telnet、rlogin、IRC、X11、および VNC セッションのリアルタイム再生プログラムを含む詳細。
画像レポートや HTTP GET/POST コンテンツ レポートなどの Chaosreader レポート。
Chaosreader はスタンドアロン モードでも実行でき、tcpdump を呼び出してログを作成します。
ファイルを作成し、それらを処理します。
OPTIONS
-a、 - 応用
アプリケーションセッションファイルの作成 (デフォルト)
-e、 - すべての
すべての HTML 双方向ファイルと hex ファイルを作成
-h 簡単なヘルプを印刷する
- 助けて 詳細なヘルプ (これ) とバージョンを印刷します
--ヘルプ2
大量のヘルプを印刷する
-私、 - 情報
情報ファイルを作成する
-NS、 - 静かな
静かで画面への出力なし
-NS、 - 生
RAWファイルの作成
-v、 -詳細
詳細 - すべてのファイルを作成します。(除く) -e)
-NS、 - 索引
インデックスファイルの作成 (デフォルト)
-NS、 --noapplication
アプリケーションセッションファイルを除外する
-NS、 --hex
XNUMX 進ダンプを含める (遅い)
-私、 --情報なし
情報ファイルを除外する
-NS、 --noraw
RAWファイルを除外する
-NS、 --notcp
TCPトラフィックを除外する
-U、 --noudp
UDPトラフィックを除外する
-Y、 --noicmp
ICMP トラフィックを除外する
-NS、 --noindex
インデックスファイルを除外する
-k、 --キーデータ
キーストローク分析用の追加ファイルを作成する
-D DIR, --DIR DIR
すべてのファイルをこのディレクトリに出力します
-b 25,79、 --playtcp 25,79
これらの TCP ポートも同様に再生します (再生)
-B 36,42、 --playudp 36,42
これらの UDP ポートも同様に再生します (再生)
-l 7,79、 --htmltcp 7,79
これらの TCP ポート用の HTML も作成します
-L 7,123、 --htmludp 7,123
これらの UDP ポート用の HTML も作成します
-m 1k、 -分 1k
保存する接続の最小サイズ (「k」は Kb を表します)
-M 1024k、 --最大 1k
保存する接続の最大サイズ (「k」は Kb を表します)
-o サイズ、 - 選別 サイズ
並べ替え順序: 時間/サイズ/タイプ/IP (デフォルトの時間)
-p 21,23、 - 港 21,23
これらのポート (TCP および UDP) のみを検査します。
-P 80,81、 --noport 80,81
これらのポートを除外します (TCP および UDP)
-s 5, --ルノンス 5
スタンドアロン。 tcpdump/snoop を 5 回実行します 分.
-S 5,10、 --ランメニー 5,10
スタンドアロン、多数。 10個中5個のサンプル 分 それぞれ。
-S 5, --ランメニー 5
スタンドアロン、エンドレス。 5 分間のサンプルを永久に。
-z、 --runredo
スタンドアロン、やり直し。 前回の実行のログを再読み取りします。
-j 10.1.2.1、 --ipaddr 10.1.2.1
これらの IP のみを調べてください
-J 10.1.2.1、 --noipaddr 10.1.2.1
これらの IP を除外します
-f 'ポート 7フィート、 - フィルター 'ポート 7'
スタンドアロンでは、このダンプ フィルターを使用します。
出力 ファイル
index.htmlを
HTML インデックス (詳細)
インデックス.テキスト
テキストインデックス
インデックスファイル
スタンドアロンREDOモードのファイルインデックス
画像.html
画像のHTMLレポート
getpost.html
HTTP GET/POSTリクエストのHTMLレポート
session_0001.info
TCP セッション #1 を説明する情報ファイル
session_0001.telnet.html
HTML カラーの双方向キャプチャ (時間ソート)
session_0001.telnet.raw
生データの双方向キャプチャ (時間ソート)
session_0001.telnet.raw1
生の一方向キャプチャ (組み立てられた) サーバー -> クライアント
session_0001.telnet.raw2
生の一方向キャプチャ (組み立てられた) クライアント -> サーバー
session_0002.web.html
HTML 色付き双方向
session_0002.part_01.html
上記の HTTP 部分、HTML ファイル
session_0003.web.html
HTML 色付き双方向
session_0003.part_01.jpeg
上記の HTTP 部分、JPEG ファイル
session_0004.web.html
HTML 色付き双方向
session_0004.part_01.gif
上記の HTTP 部分、GIF ファイル
session_0005.part_01.ftp-data.gz
FTP 転送、gz ファイル。
コンベンション
セッション_*
TCPセッション
ストリーム_*
UDPストリーム
icmp_* ICMPパケット
index.htmlを
HTML インデックス
インデックス.テキスト
テキストインデックス
インデックスファイル
スタンドアロン REDO モードのみのファイル インデックス
画像.html
画像のHTMLレポート
getpost.html
HTTP GET/POSTリクエストのHTMLレポート
*。情報 セッション/ストリームを説明する情報ファイル
*。生 生データの双方向キャプチャ (時間ソート)
*.raw1 生の一方向キャプチャ (組み立てられた) サーバー -> クライアント
*.raw2 生の一方向キャプチャ (組み立てられた) クライアント -> サーバー
*.リプレイ
セッションリプレイプログラム(perl)
*。部分的。*
部分キャプチャ (tcpdump/snoop はドロップを認識していました)
*.hex.html
双方向の 2 進ダンプ、色付きの HTML でレンダリング
*.hex.テキスト
プレーンテキストでの双方向の 2 進ダンプ
*.X11.リプレイ
X11 リプレイ スクリプト (X11 の会話)
*.textX11.replay
X11通信テキスト再生スクリプト(テキストのみ)
*.textX11.html
赤/青の HTML で表示される双方向テキスト レポート
*.keydata
キーストローク遅延データ ファイル。 SSH 分析に使用されます。
モード
ノーマル 例:「カオスリーダー ファイル内"、ここは以前に tcpdump/snoop ファイルが作成された場所です
& カオスリーダー それを読み取って処理します。
スタンドアロン かつて
例:「カオスリーダー -s 10インチはここです カオスリーダー tcpdump/snoop を実行し、
この場合は 10 i 分間ログ ファイルを保存し、結果を処理します。 いくつかの
OS には tcpdump または snoop が使用できない可能性があるため、これは機能しません (代わりに、
Ethereal を取得し、実行し、ファイルに保存して、通常モードを使用できるようにする必要があります)。 があります
マスターのindex.htmlとサブのレポートindex.html DIR、形式は
out_YYYYMMDD-hhmm、例: "out_20031003-2221"。
スタンドアロン、 多くの
例:「カオスリーダー -S 5,12インチ、ここです カオスリーダー tcpdump/snoop を実行し、
多くのログ ファイルが生成されます。この場合、それぞれ 12 分間で 5 回サンプリングされます。
これの実行中、マスターのindex.htmlを表示して進行状況を確認できます。
各サブディレクトリにあるマイナーなindex.htmlレポートへのリンク。
スタンドアロン、 やり直し
例:「カオスリーダー -ve -z"、( -z)、これはスタンドアロン キャプチャがあった場所です
以前に実行したログを再処理したい場合は、おそらく次のようにします。
さまざまなオプション (この場合は、「-ve")。index.file を読み取って、どれがどれであるかを判断します。
読み取るログをキャプチャします。
スタンドアロン、 エンドレス
例:「カオスリーダー -S 5 インチ、スタンドアロンの多くの場合と同様 - ただし、永久に動作します (
必要?)。 ディスク容量に注意してください。
注: これは進行中の作業であり、コードの一部は少し洗練されていません。
アドバイス
・ 走る カオスリーダー 空のディレクトリにあります。
· 小さなパケット ダンプを作成します。 Chaosreader はメモリ内のダンプ サイズの約 5 倍を使用します。 100MB
ファイルの処理には 500MB の RAM が必要になる場合があります。
· tcpdump では "-s0「」の代わりに「(パケット全体)」-s9000".
· ディスク領域の使用量が多すぎることに注意してください (特にスタンドアロン モード)。
· 小さな接続をキャプチャしすぎて巨大なindex.htmlが生成される場合は、 -m
小規模な接続を無視するオプション。 例:「-m 1k」。
· スヌープ ログは実際にはより適切に機能する可能性があります。 スヌープ ログは RFC1761 に基づいていますが、
tcpdump/libpcap には多くの種類があり、このプログラムはそれらすべてを読み取ることはできません。 あなたが持っている場合
Ethereal では、「名前を付けて保存」オプション中にスヌープ ログを作成できます。 Solaris では「スヌープ」を使用します
-o ログファイル」。
· tcpdump ログは、異なるサイズのタイムスタンプを使用する OS 間で移植できない場合があります。
エンディアン。
· ログは、速度を高めるためにメモリ ファイル システム (通常は /tmp) に作成するのが最適です。
· X11 または VNC の再生の場合は、まず最近キャプチャしたセッションを再生して練習してください。
自分の。 最大の問題は色深度です。画面はキャプチャと一致する必要があります。 X11用
認証 (xhost +) を確認します。VNC の場合は、ビューア オプションを確認します (-8ビット、「ヘクスタイル」、
...)
· SSH 分析は、「sshkeydata」プログラムで実行できます。
http://www.brendangregg.com/sshanalysis.html . カオスリーダー 入力ファイルを提供します
sshkeydata が解析する (*.keydata)。
onworks.net サービスを使用してオンラインで Chaosreader を使用する
