Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공업체에서 실행할 수 있는 chaosreader 명령입니다.
프로그램:
이름
카오스 리더 - 네트워크 세션 추적 및 html 형식으로 내보내기
개요
카오스 리더
카오스 리더 [-aehikqrvxAHIRTUXY] [-D DIR]
[-b 포트[,...]] [-B 포트[,...]]
[-j IP주소[,...]] [-J IP주소[,...]]
[-l 포트[,...]] [-L 포트[,...]] [-m 바이트[k]]
[-M 바이트[k]] [-o "시간"|"크기"|"유형"|"ip"]
[-p 포트[,...]] [-P 포트[,...]]
인파일 [인파일2 ...]
카오스 리더 -s [분] | -S [분[,세다]]
[-z] [-f '필터']
기술
Chaosreader는 TCP/UDP/기타 세션을 추적하고 snoop 또는
tcpdump 로그. 이것은 "any-snarf" 프로그램의 일종으로 텔넷 세션, FTP를 가져옵니다.
내부에서 캡처한 데이터의 파일, HTTP 전송(HTML, GIF, JPEG 등) 및 SMTP 이메일
네트워크 트래픽 로그. 모든 세션에 대한 링크에 대한 html 인덱스 파일이 생성됩니다.
텔넷, rlogin, IRC, X11 및 VNC 세션을 위한 실시간 재생 프로그램을 포함한 세부 정보.
이미지 보고서 및 HTTP GET/POST 콘텐츠 보고서와 같은 Chaosreader 보고서.
Chaosreader는 tcpdump를 호출하여 로그를 생성하는 독립 실행형 모드에서도 실행할 수 있습니다.
파일을 생성한 다음 처리합니다.
옵션
-ㅏ --애플리케이션
애플리케이션 세션 파일 생성(기본값)
-이자형, --모든 것
모든 것을 위한 HTML 양방향 및 2진수 파일 만들기
-h 간단한 도움말 인쇄
--도움 자세한 도움말(이) 및 버전 인쇄
--help2
대규모 도움말 인쇄
-NS, --정보
정보 파일 생성
-NS, --조용한
조용하고 화면에 출력되지 않음
-NS, --노골적인
원시 파일 생성
-V, --말 수가 많은
Verbose - 모든 파일 생성 ..(예외 -e)
-NS, --인덱스
색인 파일 만들기(기본값)
-NS, --응용 프로그램 없음
애플리케이션 세션 파일 제외
-시간, --마녀
XNUMX진수 덤프 포함(느림)
-NS, --정보 없음
정보 파일 제외
-NS, --noraw
원시 파일 제외
-NS, --notcp
TCP 트래픽 제외
-유, --noudp
UDP 트래픽 제외
-와이, --noicmp
ICMP 트래픽 제외
-NS, --NOINDEX
색인 파일 제외
-케이, --키데이터
키스트로크 분석을 위한 추가 파일 생성
-D DIR, --DIR DIR
모든 파일을 이 디렉토리에 출력
-b 25,79, --playtcp 25,79
이 TCP 포트도 재생(재생)
-B 36,42, --playudp 36,42
이 UDP 포트도 재생(재생)
-l 7,79, --htmltcp 7,79
이러한 TCP 포트에 대한 HTML도 생성합니다.
-L 7,123, --htmludp 7,123
이러한 UDP 포트에 대한 HTML도 생성합니다.
-m 1k, --분 1k
저장할 최소 연결 크기(Kb의 경우 "k")
-M 1024k, --최대 1k
저장할 최대 연결 크기(Kb의 경우 "k")
-o 크기, --종류 크기
정렬 순서: 시간/크기/유형/ip(기본 시간)
-p 21,23, --포트 21,23
이 포트만 검사하십시오(TCP 및 UDP).
-P 80,81, --noport 80,81
다음 포트 제외(TCP 및 UDP)
-s 5, --runonce 5
독립형. 5에 대해 tcpdump/snoop 실행 분.
-S 5,10, --runmany 5,10
독립형, 다수. 10개 샘플 5개 분 마다.
-S 5, --runmany 5
독립형, 무한. 영원히 5분 샘플.
-지, --runredo
독립형, 다시 실행. 마지막 실행 로그를 다시 읽습니다.
-j 10.1.2.1, --ipadr 10.1.2.1
이 IP만 검사
-J 10.1.2.1, --noipadr 10.1.2.1
이 IP 제외
-f '포트 7 ', --필터 '포트 7'
독립 실행형에서는 이 덤프 필터를 사용합니다.
출력 파일
index.html 페이지
HTML 색인(자세한 내용)
색인.텍스트
텍스트 색인
인덱스 파일
독립 실행형 다시 실행 모드의 파일 인덱스
이미지.html
이미지의 HTML 보고서
getpost.html
HTTP GET/POST 요청의 HTML 보고서
session_0001.info
TCP 세션 #1을 설명하는 정보 파일
session_0001.telnet.html
HTML 컬러 양방향 캡처(시간 정렬)
session_0001.telnet.raw
원시 데이터 양방향 캡처(시간 정렬)
session_0001.telnet.raw1
원시 단방향 캡처(조립) 서버->클라이언트
session_0001.telnet.raw2
원시 단방향 캡처(조립) 클라이언트->서버
session_0002.web.html
HTML 컬러 양방향
session_0002.part_01.html
위의 HTTP 부분, HTML 파일
session_0003.web.html
HTML 컬러 양방향
session_0003.part_01.jpeg
위의 HTTP 부분, JPEG 파일
session_0004.web.html
HTML 컬러 양방향
session_0004.part_01.gif
위의 HTTP 부분, GIF 파일
session_0005.part_01.ftp-data.gz
FTP 전송, gz 파일.
대회
세션_*
TCP 세션
개울_*
UDP 스트림
ICMP_* ICMP 패킷
index.html 페이지
HTML 색인
색인.텍스트
텍스트 색인
인덱스 파일
독립 실행형 다시 실행 모드 전용 파일 인덱스
이미지.html
이미지의 HTML 보고서
getpost.html
HTTP GET/POST 요청의 HTML 보고서
*.정보 세션/스트림을 설명하는 정보 파일
*.날것의 원시 데이터 양방향 캡처(시간 정렬)
*.raw1 원시 단방향 캡처(조립) 서버->클라이언트
*.raw2 원시 단방향 캡처(조립) 클라이언트->서버
*.다시 하다
세션 재생 프로그램(perl)
*.부분.*
부분 캡처(tcpdump/snoop가 드롭을 인식함)
*.hex.html
컬러 HTML로 렌더링된 양방향 2진수 덤프
*.hex.텍스트
일반 텍스트의 양방향 2진수 덤프
*.X11.리플레이
X11 재생 스크립트(X11 대화)
*.textX11.replay
X11 통신 텍스트 재생 스크립트(텍스트만)
*.textX11.html
빨간색/파란색 HTML로 렌더링된 양방향 텍스트 보고서
*.키데이터
키 입력 지연 데이터 파일. SSH 분석에 사용됩니다.
모드
표준 예: "카오스 리더 인파일", 이전에 tcpdump/snoop 파일이 생성된 위치입니다.
과 카오스 리더 읽고 처리합니다.
독립형 일단
예: "카오스 리더 -s 10" 여기는 카오스 리더 tcpdump/snoop 실행 및 생성
이 경우 10분 동안 로그 파일에 저장한 다음 결과를 처리합니다. 일부
OS에는 tcpdump 또는 snoop을 사용할 수 없으므로 작동하지 않을 수 있습니다(대신
Ethereal을 가져와 실행하고 파일에 저장한 다음 일반 모드를 사용할 수 있습니다. 이있다
하위의 마스터 index.html 및 보고서 index.html DIR, 형식입니다
out_YYYYMMDD-hhmm, 예: "out_20031003-2221".
독립형, .
예: "카오스 리더 -S 5,12", 여기가 카오스 리더 tcpdump/snoop을 실행하고
많은 로그 파일을 생성하며, 이 경우 각각 12분 동안 5회 샘플링합니다.
이것이 실행되는 동안 마스터 index.html을 보고 진행 상황을 볼 수 있습니다.
각 하위 디렉토리에 있는 작은 index.html 보고서에 대한 링크입니다.
독립형, 다시 하다
예: "카오스 리더 -ve -z", ( -z), 독립 실행형 캡처가 있었던 곳입니다.
이전에 수행했으며 이제 로그를 다시 처리하려고 합니다.
다른 옵션(이 경우 "-ve"). index.file을 읽어서
읽을 로그를 캡처합니다.
독립형, 끝없는
예: "카오스 리더 -S 5", 독립 실행형과 비슷하지만 영원히 실행됩니다(
필요?). 디스크 공간을 조심하십시오!
참고: 이것은 진행 중인 작업이며 일부 코드는 약간 다듬어지지 않았습니다.
조언
· 운영 카오스 리더 빈 디렉토리에.
· 작은 패킷 덤프를 만듭니다. Chaosreader는 메모리에서 약 5배의 덤프 크기를 사용합니다. 100Mb
파일을 처리하려면 500Mb의 RAM이 필요할 수 있습니다.
· 귀하의 tcpdump는 "-s0" 대신 " (전체 패킷)-s9000".
· 너무 많은 디스크 공간, 특히 독립 실행형 모드를 사용하지 않도록 주의하십시오.
· 큰 index.html을 제공하는 작은 연결을 너무 많이 캡처하는 경우 다음을 사용해 보십시오. -m
작은 연결을 무시하는 옵션. 예: "-m 1k".
· snoop 로그는 실제로 더 잘 작동할 수 있습니다. Snoop 로그는 RFC1761을 기반으로 하지만
tcpdump/libpcap의 많은 변종과 이 프로그램은 그것들을 모두 읽을 수 없습니다. 당신이 가지고 있다면
Ethereal "다른 이름으로 저장" 옵션 중에 snoop 로그를 만들 수 있습니다. 솔라리스에서는 "snoop
-o 로그 파일".
· tcpdump 로그는 다른 크기의 타임스탬프 또는
엔디안
· 로그는 속도를 위해 메모리 파일 시스템(일반적으로 /tmp)에서 가장 잘 생성됩니다.
· X11 또는 VNC 재생의 경우 먼저 사용자의 최근 캡처된 세션을 재생하여 연습하십시오.
소유하다. 가장 큰 문제는 색상 심도입니다. 화면이 캡처와 일치해야 합니다. X11의 경우
인증 확인(xhost +), VNC의 경우 뷰어 옵션 확인(-8bit, "헥타일",
~)
· SSH 분석은 "sshkeydata" 프로그램으로 수행할 수 있습니다.
http://www.brendangregg.com/sshanalysis.html . 카오스 리더 입력 파일을 제공합니다
sshkeydata가 분석하는 (*.keydata).
onworks.net 서비스를 사용하여 온라인에서 chaosreader 사용
