chaosreader - クラウドでオンライン

プログラム：

NAME

カオスリーダー - ネットワークセッションをトレースし、HTML形式にエクスポートします

SYNOPSIS

カオスリーダー

カオスリーダー [-aehikqrvxAHIRTUXY] [-D DIR]
[-b ポート[、...]] [-B ポート[、...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l ポート[、...]] [-L ポート[、...]] [-m バイト[k]]
[-M バイト[k]] [-o "時間"|"サイズ"|"タイプ"|"IP"]
[-p ポート[、...]] [-P ポート[、...]]
ファイル内 [インファイル2 ...]

カオスリーダー -s [分] | -S [分[、カウント]]
[-z] [-f 'フィルター']

DESCRIPTION

Chaosreader は、TCP/UDP/その他のセッションをトレースし、スヌープまたはアプリケーション データを取得します。
tcpdump ログ。 これは、Telnet セッション、FTP をフェッチするため、「any-snarf」プログラムの一種です。
ファイル、HTTP 転送 (HTML、GIF、JPEG など)、内部にキャプチャされたデータからの SMTP 電子メール
ネットワークトラフィックログ。 すべてのセッションにリンクする HTML インデックス ファイルが作成されます。
Telnet、rlogin、IRC、X11、および VNC セッションのリアルタイム再生プログラムを含む詳細。
画像レポートや HTTP GET/POST コンテンツ レポートなどの Chaosreader レポート。

Chaosreader はスタンドアロン モードでも実行でき、tcpdump を呼び出してログを作成します。
ファイルを作成し、それらを処理します。

OPTIONS

-a、 - 応用
アプリケーションセッションファイルの作成 (デフォルト)

-e、 - すべての
すべての HTML 双方向ファイルと hex ファイルを作成

-h 簡単なヘルプを印刷する

- 助けて 詳細なヘルプ (これ) とバージョンを印刷します

--ヘルプ2
大量のヘルプを印刷する

-私、 - 情報
情報ファイルを作成する

-NS、 - 静かな
静かで画面への出力なし

-NS、 - 生
RAWファイルの作成

-v、 -詳細
詳細 - すべてのファイルを作成します。(除く) -e)

-NS、 - 索引
インデックスファイルの作成 (デフォルト)

-NS、 --noapplication
アプリケーションセッションファイルを除外する

-NS、 --hex
XNUMX 進ダンプを含める (遅い)

-私、 --情報なし
情報ファイルを除外する

-NS、 --noraw
RAWファイルを除外する

-NS、 --notcp
TCPトラフィックを除外する

-U、 --noudp
UDPトラフィックを除外する

-Y、 --noicmp
ICMP トラフィックを除外する

-NS、 --noindex
インデックスファイルを除外する

-k、 --キーデータ
キーストローク分析用の追加ファイルを作成する

-D DIR, --DIR DIR
すべてのファイルをこのディレクトリに出力します

-b 25,79、 --playtcp 25,79
これらの TCP ポートも同様に再生します (再生)

-B 36,42、 --playudp 36,42
これらの UDP ポートも同様に再生します (再生)

-l 7,79、 --htmltcp 7,79
これらの TCP ポート用の HTML も作成します

-L 7,123、 --htmludp 7,123
これらの UDP ポート用の HTML も作成します

-m 1k、 -分 1k
保存する接続の最小サイズ (「k」は Kb を表します)

-M 1024k、 --最大 1k
保存する接続の最大サイズ (「k」は Kb を表します)

-o サイズ、 - 選別 サイズ
並べ替え順序: 時間/サイズ/タイプ/IP (デフォルトの時間)

-p 21,23、 - 港 21,23
これらのポート (TCP および UDP) のみを検査します。

-P 80,81、 --noport 80,81
これらのポートを除外します (TCP および UDP)

-s 5, --ルノンス 5
スタンドアロン。 tcpdump/snoop を 5 回実行します 分.

-S 5,10、 --ランメニー 5,10
スタンドアロン、多数。 10個中5個のサンプル 分 それぞれ。

-S 5, --ランメニー 5
スタンドアロン、エンドレス。 5 分間のサンプルを永久に。

-z、 --runredo
スタンドアロン、やり直し。 前回の実行のログを再読み取りします。

-j 10.1.2.1、 --ipaddr 10.1.2.1
これらの IP のみを調べてください

-J 10.1.2.1、 --noipaddr 10.1.2.1
これらの IP を除外します

-f 'ポート 7フィート、 - フィルター 'ポート 7'
スタンドアロンでは、このダンプ フィルターを使用します。

出力 ファイル

index.htmlを
HTML インデックス (詳細)

インデックス.テキスト
テキストインデックス

インデックスファイル
スタンドアロンREDOモードのファイルインデックス

画像.html
画像のHTMLレポート

getpost.html
HTTP GET/POSTリクエストのHTMLレポート

session_0001.info
TCP セッション #1 を説明する情報ファイル

session_0001.telnet.html
HTML カラーの双方向キャプチャ (時間ソート)

session_0001.telnet.raw
生データの双方向キャプチャ (時間ソート)

session_0001.telnet.raw1
生の一方向キャプチャ (組み立てられた) サーバー -> クライアント

session_0001.telnet.raw2
生の一方向キャプチャ (組み立てられた) クライアント -> サーバー

session_0002.web.html
HTML 色付き双方向

session_0002.part_01.html
上記の HTTP 部分、HTML ファイル

session_0003.web.html
HTML 色付き双方向

session_0003.part_01.jpeg
上記の HTTP 部分、JPEG ファイル

session_0004.web.html
HTML 色付き双方向

session_0004.part_01.gif
上記の HTTP 部分、GIF ファイル

session_0005.part_01.ftp-data.gz
FTP 転送、gz ファイル。

コンベンション

セッション_*
TCPセッション

ストリーム_*
UDPストリーム

icmp_* ICMPパケット

index.htmlを
HTML インデックス

インデックス.テキスト
テキストインデックス

インデックスファイル
スタンドアロン REDO モードのみのファイル インデックス

画像.html
画像のHTMLレポート

getpost.html
HTTP GET/POSTリクエストのHTMLレポート

*。情報 セッション/ストリームを説明する情報ファイル

*。生 生データの双方向キャプチャ (時間ソート)

*.raw1 生の一方向キャプチャ (組み立てられた) サーバー -> クライアント

*.raw2 生の一方向キャプチャ (組み立てられた) クライアント -> サーバー

*.リプレイ
セッションリプレイプログラム（perl）

*。部分的。*
部分キャプチャ (tcpdump/snoop はドロップを認識していました)

*.hex.html
双方向の 2 進ダンプ、色付きの HTML でレンダリング

*.hex.テキスト
プレーンテキストでの双方向の 2 進ダンプ

*.X11.リプレイ
X11 リプレイ スクリプト (X11 の会話)

*.textX11.replay
X11通信テキスト再生スクリプト（テキストのみ）

*.textX11.html
赤/青の HTML で表示される双方向テキスト レポート

*.keydata
キーストローク遅延データ ファイル。 SSH 分析に使用されます。

モード

ノーマル 例：「カオスリーダー ファイル内"、ここは以前に tcpdump/snoop ファイルが作成された場所です
および カオスリーダー それを読み取って処理します。

スタンドアロン かつて
例：「カオスリーダー -s 10インチはここです カオスリーダー tcpdump/snoop を実行し、
この場合は 10 i 分間ログ ファイルを保存し、結果を処理します。 いくつかの
OS には tcpdump または snoop が使用できない可能性があるため、これは機能しません (代わりに、
Ethereal を取得し、実行し、ファイルに保存して、通常モードを使用できるようにする必要があります)。 があります
マスターのindex.htmlとサブのレポートindex.html DIR、形式は
out_YYYYMMDD-hhmm、例: "out_20031003-2221"。

スタンドアロン、 多くの
例：「カオスリーダー -S 5,12インチ、ここです カオスリーダー tcpdump/snoop を実行し、
多くのログ ファイルが生成されます。この場合、それぞれ 12 分間で 5 回サンプリングされます。
これの実行中、マスターのindex.htmlを表示して進行状況を確認できます。
各サブディレクトリにあるマイナーなindex.htmlレポートへのリンク。

スタンドアロン、 やり直し
例：「カオスリーダー -ve -z"、( -z)、これはスタンドアロン キャプチャがあった場所です
以前に実行したログを再処理したい場合は、おそらく次のようにします。
さまざまなオプション (この場合は、「-ve")。index.file を読み取って、どれがどれであるかを判断します。
読み取るログをキャプチャします。

スタンドアロン、 エンドレス
例：「カオスリーダー -S 5 インチ、スタンドアロンの多くの場合と同様 - ただし、永久に動作します (
必要？）。 ディスク容量に注意してください。

注: これは進行中の作業であり、コードの一部は少し洗練されていません。

アドバイス

・ 走る カオスリーダー 空のディレクトリにあります。

· 小さなパケット ダンプを作成します。 Chaosreader はメモリ内のダンプ サイズの約 5 倍を使用します。 100MB
ファイルの処理には 500MB の RAM が必要になる場合があります。

· tcpdump では "-s0「」の代わりに「（パケット全体）」-s9000".

· ディスク領域の使用量が多すぎることに注意してください (特にスタンドアロン モード)。

· 小さな接続をキャプチャしすぎて巨大なindex.htmlが生成される場合は、 -m
小規模な接続を無視するオプション。 例：「-m 1k」。

· スヌープ ログは実際にはより適切に機能する可能性があります。 スヌープ ログは RFC1761 に基づいていますが、
tcpdump/libpcap には多くの種類があり、このプログラムはそれらすべてを読み取ることはできません。 あなたが持っている場合
Ethereal では、「名前を付けて保存」オプション中にスヌープ ログを作成できます。 Solaris では「スヌープ」を使用します
-o ログファイル」。

· tcpdump ログは、異なるサイズのタイムスタンプを使用する OS 間で移植できない場合があります。
エンディアン。

· ログは、速度を高めるためにメモリ ファイル システム (通常は /tmp) に作成するのが最適です。

· X11 または VNC の再生の場合は、まず最近キャプチャしたセッションを再生して練習してください。
自分の。 最大の問題は色深度です。画面はキャプチャと一致する必要があります。 X11用
認証 (xhost +) を確認します。VNC の場合は、ビューア オプションを確認します (-8ビット、「ヘクスタイル」、
...）

· SSH 分析は、「sshkeydata」プログラムで実行できます。
http://www.brendangregg.com/sshanalysis.html . カオスリーダー 入力ファイルを提供します
sshkeydata が解析する (*.keydata)。

onworks.net サービスを使用してオンラインで Chaosreader を使用する