ນີ້ແມ່ນ chaosreader ຄໍາສັ່ງທີ່ສາມາດດໍາເນີນການໄດ້ຢູ່ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍສະຖານີເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS emulator ອອນໄລນ໌.
ໂຄງການ:
NAME
chaosreader - ຕິດຕາມກອງປະຊຸມເຄືອຂ່າຍແລະສົ່ງອອກເປັນຮູບແບບ html
ສະຫຼຸບສັງລວມ
chaosreader
chaosreader [-aehikqrvxAHIRTUXY] [-D dir]
[-b ພອດ[,...]] [-B ພອດ[,...]]
[-j iPaddr[,...]] [-J iPaddr[,...]]
[-l ພອດ[,...]] [-L ພອດ[,...]] [-m bytes[k]]
[-M bytes[k]] [-o "ເວລາ"|"ຂະຫນາດ"|"ປະເພດ"|"ip"]
[-p ພອດ[,...]] [-P ພອດ[,...]]
infile [infile2 ... ]
chaosreader -s [ນາທີ] | -S [ນາທີ[, ນັບ]]
[-z] [-f 'ກອງ']
ລາຍລະອຽດ
Chaosreader ຕິດຕາມ TCP/UDP/Session ອື່ນໆ ແລະດຶງຂໍ້ມູນແອັບພລິເຄຊັນຈາກ snoop ຫຼື
ບັນທຶກ tcpdump. ນີ້ແມ່ນປະເພດຂອງໂຄງການ "snarf ໃດຫນຶ່ງ", ຍ້ອນວ່າມັນຈະດຶງເອົາກອງປະຊຸມ telnet, FTP
ໄຟລ໌, ການໂອນ HTTP (HTML, GIF, JPEG ແລະອື່ນໆ) ແລະອີເມລ໌ SMTP ຈາກຂໍ້ມູນທີ່ບັນທຶກໄວ້ພາຍໃນ
ບັນທຶກການຈະລາຈອນເຄືອຂ່າຍ. ໄຟລ໌ດັດສະນີ html ຖືກສ້າງຂື້ນກັບການເຊື່ອມຕໍ່ນັ້ນກັບກອງປະຊຸມທັງຫມົດ
ລາຍລະອຽດ, ລວມທັງໂຄງການ replay ໃນເວລາຈິງສໍາລັບ telnet, rlogin, IRC, X11 ແລະ VNC sessions.
ບົດລາຍງານ Chaosreader ເຊັ່ນບົດລາຍງານຮູບພາບແລະ HTTP GET/POST ບົດລາຍງານເນື້ອໃນ.
Chaosreader ຍັງສາມາດແລ່ນຢູ່ໃນໂຫມດສະແຕນດຽວ, ບ່ອນທີ່ມັນເອີ້ນ tcpdump ເພື່ອສ້າງບັນທຶກ.
ໄຟລ໌ແລະຫຼັງຈາກນັ້ນປະມວນຜົນໃຫ້ເຂົາເຈົ້າ.
OPTIONS
-ກ, -- ຄໍາຮ້ອງສະຫມັກ
ສ້າງໄຟລ໌ເຊດຊັນແອັບພລິເຄຊັນ (ຄ່າເລີ່ມຕົ້ນ)
-e, -- ທຸກຢ່າງ
ສ້າງໄຟລ໌ HTML 2-way & hex ສໍາລັບທຸກສິ່ງທຸກຢ່າງ
-h ພິມຕົວຊ່ວຍສັ້ນໆ
- ຊ່ວຍ ພິມການຊ່ວຍເຫຼືອ verbose (ນີ້) ແລະສະບັບ
--ຊ່ວຍ 2
ພິມການຊ່ວຍເຫຼືອອັນໃຫຍ່ຫຼວງ
-i, -- ຂໍ້ມູນ
ສ້າງໄຟລ໌ຂໍ້ມູນ
-q, --ງຽບ
ງຽບ, ບໍ່ມີຜົນຜະລິດໃນຫນ້າຈໍ
-r, -- ດິບ
ສ້າງໄຟລ໌ດິບ
- ໃນ, -- verbose
Verbose - ສ້າງໄຟລ໌ທັງຫມົດ .. (ຍົກເວັ້ນ -e)
-x, --index
ສ້າງໄຟລ໌ດັດສະນີ (ຄ່າເລີ່ມຕົ້ນ)
-A, --noapplication
ບໍ່ລວມໄຟລ໌ເຊດຊັນແອັບພລິເຄຊັນ
-H, --hex
ລວມເອົາ hex dumps (ຊ້າ)
- ຂ້ອຍ, --noinfo
ບໍ່ລວມໄຟລ໌ຂໍ້ມູນ
-R, --ນົວ
ບໍ່ລວມໄຟລ໌ດິບ
-T, --notcp
ບໍ່ລວມການຈະລາຈອນ TCP
-U, --noudp
ບໍ່ລວມການເຂົ້າຊົມ UDP
-Y, --noicmp
ບໍ່ລວມການຈະລາຈອນ ICMP
-X, --noindex
ບໍ່ລວມໄຟລ໌ດັດສະນີ
-k, --keydata
ສ້າງໄຟລ໌ເພີ່ມເຕີມສໍາລັບການວິເຄາະການກົດແປ້ນພິມ
-D dir, --dir dir
ສົ່ງອອກໄຟລ໌ທັງຫມົດໄປຫາໄດເລກະທໍລີນີ້
-b 25,79, --playtcp 25,79
ຫຼິ້ນຄືນພອດ TCP ເຫຼົ່ານີ້ເຊັ່ນດຽວກັນ (ຫຼິ້ນຄືນ)
-B 36,42, --playudp 36,42
ຫຼິ້ນຄືນພອດ UDP ເຫຼົ່ານີ້ເຊັ່ນດຽວກັນ (ຫຼິ້ນຄືນ)
-l 7,79, --htmltcp 7,79
ສ້າງ HTML ສໍາລັບພອດ TCP ເຫຼົ່ານີ້ເຊັ່ນກັນ
-L 7,123, --htmludp 7,123
ສ້າງ HTML ສໍາລັບພອດ UDP ເຫຼົ່ານີ້ເຊັ່ນກັນ
-m 1k, --ນາທີ 1k
ຂະໜາດນ້ອຍສຸດຂອງການເຊື່ອມຕໍ່ເພື່ອບັນທຶກ ("k" ສໍາລັບ Kb)
-M 1024k, --ສູງສຸດ 1k
ຂະໜາດສູງສຸດຂອງການເຊື່ອມຕໍ່ເພື່ອບັນທຶກ ("k" ສໍາລັບ Kb)
-o ຂະ ໜາດ, --ຄັດ ຂະຫນາດ
ການຈັດລຽງລຳດັບ: ເວລາ/ຂະໜາດ/ປະເພດ/ip (ເວລາເລີ່ມຕົ້ນ)
-p 21,23, --ພອດ 21,23
ກວດເບິ່ງພອດເຫຼົ່ານີ້ເທົ່ານັ້ນ (TCP & UDP)
-P 80,81, --noport 80,81
ບໍ່ລວມພອດເຫຼົ່ານີ້ (TCP & UDP)
-s 5, --runonce 5
ໂດດດ່ຽວ. ດໍາເນີນການ tcpdump/snoop ສໍາລັບ 5 ນາທີ.
-S 5,10, --runmany 5,10
ໂດດດ່ຽວ, ຫຼາຍຄົນ. 10 ຕົວຢ່າງ 5 ນາທີ ແຕ່ລະຄົນ.
-S 5, --runmany 5
ໂດດດ່ຽວ, ບໍ່ມີທີ່ສິ້ນສຸດ. ຕົວຢ່າງ 5 ນາທີຕະຫຼອດໄປ.
-z, --runredo
ໂດດດ່ຽວ, ເຮັດຊ້ຳ. ອ່ານບັນທຶກການແລ່ນຄັ້ງສຸດທ້າຍຄືນໃໝ່.
-j 10.1.2.1, --ipaddr 10.1.2.1
ພຽງແຕ່ກວດເບິ່ງ IP ເຫຼົ່ານີ້
-J 10.1.2.1, --noipaddr 10.1.2.1
ບໍ່ລວມ IP ເຫຼົ່ານີ້
-f 'ພອດ 7 ', --ການກັ່ນຕອງ 'ພອດ 7'
ດ້ວຍການໂດດດ່ຽວ, ໃຫ້ໃຊ້ຕົວກອງຂີ້ເຫຍື້ອນີ້.
OUTPUT ເອກະສານ
index.html
ດັດຊະນີ html (ລາຍລະອຽດເຕັມ)
index.text
ດັດຊະນີຂໍ້ຄວາມ
index.file
ດັດຊະນີໄຟລ໌ສຳລັບໂໝດເຮັດຊ້ຳແບບດ່ຽວ
image.html
ບົດລາຍງານ HTML ຂອງຮູບພາບ
getpost.html
ບົດລາຍງານ HTML ຂອງການຮ້ອງຂໍ HTTP GET/POST
session_0001.info
ໄຟລ໌ຂໍ້ມູນອະທິບາຍ TCP session #1
session_0001.telnet.html
HTML ສີ 2 ທາງການຈັບພາບ (ຈັດລໍາດັບເວລາ)
session_0001.telnet.raw
ຂໍ້ມູນດິບ ຈັບ 2 ທາງ (ຈັດຮຽງເວລາ)
session_0001.telnet.raw1
ການຈັບພາບແບບ 1 ທາງດິບ (ປະກອບ) ເຊີບເວີ->ລູກຂ່າຍ
session_0001.telnet.raw2
ການຈັບພາບແບບ 1 ທາງດິບ (ປະກອບ) ລູກຄ້າ->ເຊີບເວີ
session_0002.web.html
HTML ສີ 2 ທາງ
session_0002.part_01.html
ສ່ວນ HTTP ຂອງຂ້າງເທິງ, ໄຟລ໌ HTML
session_0003.web.html
HTML ສີ 2 ທາງ
session_0003.part_01.jpeg
ສ່ວນ HTTP ຂອງຂ້າງເທິງ, ໄຟລ໌ JPEG
session_0004.web.html
HTML ສີ 2 ທາງ
session_0004.part_01.gif
ສ່ວນ HTTP ຂອງຂ້າງເທິງ, ໄຟລ໌ GIF
session_0005.part_01.ftp-data.gz
ການໂອນ FTP, ໄຟລ໌ gz.
ສົນທິສັນຍາ
session_*
TCP Sessions
ກະແສ_*
UDP Streams
icmp_* ແພັກເກັດ ICMP
index.html
ດັດຊະນີ HTML
index.text
ດັດຊະນີຂໍ້ຄວາມ
index.file
File Index ສໍາລັບຮູບແບບການເຮັດຊ້ຳແບບດ່ຽວເທົ່ານັ້ນ
image.html
ບົດລາຍງານ HTML ຂອງຮູບພາບ
getpost.html
ບົດລາຍງານ HTML ຂອງການຮ້ອງຂໍ HTTP GET/POST
*.ຂໍ້ມູນ ໄຟລ໌ຂໍ້ມູນອະທິບາຍ Session/Stream
*.ດິບ ຂໍ້ມູນດິບ ຈັບ 2 ທາງ (ຈັດຮຽງເວລາ)
*.raw1 ການຈັບພາບແບບ 1 ທາງດິບ (ປະກອບ) ເຊີບເວີ->ລູກຂ່າຍ
*.raw2 ການຈັບພາບແບບ 1 ທາງດິບ (ປະກອບ) ລູກຄ້າ->ເຊີບເວີ
*.ຫຼິ້ນຄືນ
ໂປຣແກມ replay ເຊສຊັນ (perl)
*.ບາງສ່ວນ.*
ການຈັບພາບບາງສ່ວນ (tcpdump/snoop ຮູ້ເຖິງການຫຼຸດລົງ)
*.hex.html
2-way Hex dump, rendered ໃນ HTML ສີ
*.hex.text
ການຖິ້ມ Hex 2 ທາງໃນຂໍ້ຄວາມທໍາມະດາ
*.X11.replay
X11 replay script (ສົນທະນາ X11)
*.textX11.replay
X11 ສື່ສານຂໍ້ຄວາມ replay script (ຂໍ້ຄວາມເທົ່ານັ້ນ)
*.textX11.html
ບົດລາຍງານຂໍ້ຄວາມ 2 ທາງ, rendered ໃນ HTML ສີແດງ / ສີຟ້າ
*.keydata
ໄຟລ໌ຂໍ້ມູນການຊັກຊ້າການກົດແປ້ນພິມ. ໃຊ້ສໍາລັບການວິເຄາະ SSH.
ຮູບແບບ
ຕາມປົກກະຕິ ຕົວຢ່າງ "chaosreader infile", ນີ້ແມ່ນບ່ອນທີ່ໄຟລ໌ tcpdump/snoop ຖືກສ້າງຂື້ນໃນເມື່ອກ່ອນ
ແລະ chaosreader ອ່ານແລະປຸງແຕ່ງມັນ.
Standalone ຄັ້ງຫນຶ່ງ
ຕົວຢ່າງ "chaosreader -s 10" ນີ້ແມ່ນບ່ອນທີ່ chaosreader ແລ່ນ tcpdump/snoop ແລະສ້າງ
ໄຟລ໌ບັນທຶກ, ໃນກໍລະນີນີ້ສໍາລັບ 10 i ນາທີ, ແລະຫຼັງຈາກນັ້ນປະມວນຜົນຜົນໄດ້ຮັບ. ບາງ
ຂອງ OS ອາດຈະບໍ່ມີ tcpdump ຫຼື snoop ທີ່ມີຢູ່ ດັ່ງນັ້ນມັນຈະບໍ່ເຮັດວຽກ (ແທນທີ່ເຈົ້າອາດຈະ.
ສາມາດໄດ້ຮັບ Ethereal, ແລ່ນມັນ, ບັນທຶກໃສ່ໄຟລ໌, ຫຼັງຈາກນັ້ນໃຊ້ໂຫມດປົກກະຕິ). ມີ
ແມ່ບົດ index.html ແລະບົດລາຍງານ index.html ໃນຍ່ອຍ dir, ຊຶ່ງເປັນຮູບແບບ
out_YYYYMMDD-hhmm, ຕົວຢ່າງ "out_20031003-2221".
ດ່ຽວ, ຈໍານວນຫຼາຍ
ຕົວຢ່າງ "chaosreader -S 5,12", ນີ້ແມ່ນບ່ອນທີ່ chaosreader ແລ່ນ tcpdump/snoop ແລະ
ສ້າງໄຟລ໌ບັນທຶກຈໍານວນຫຼາຍ, ໃນກໍລະນີນີ້ມັນຕົວຢ່າງ 12 ເທື່ອສໍາລັບ 5 ນາທີແຕ່ລະຄົນ.
ໃນຂະນະທີ່ນີ້ກໍາລັງເຮັດວຽກ, ຕົ້ນສະບັບ index.html ສາມາດເບິ່ງໄດ້ເພື່ອເບິ່ງຄວາມຄືບຫນ້າ, ເຊິ່ງ
ເຊື່ອມຕໍ່ກັບບົດລາຍງານ index.html ເລັກນ້ອຍໃນແຕ່ລະໄດເລກະທໍລີຍ່ອຍ.
ດ່ຽວ, ເຮັດຊ້ ຳ
ຕົວຢ່າງ "chaosreader -ve -z", (ໄດ້ -z), ນີ້ແມ່ນບ່ອນທີ່ capture standalone ໄດ້
ປະຕິບັດກ່ອນຫນ້ານີ້ - ແລະໃນປັດຈຸບັນທ່ານຕ້ອງການ reprocess ບັນທຶກ - ບາງທີອາດມີ
ທາງເລືອກທີ່ແຕກຕ່າງກັນ (ໃນກໍລະນີນີ້, "-ve") ມັນອ່ານ index.file ເພື່ອກໍານົດວ່າອັນໃດ
ບັນທຶກບັນທຶກເພື່ອອ່ານ.
ດ່ຽວ, ບໍ່ມີສິ້ນສຸດ
ຕົວຢ່າງ "chaosreader -S 5", ຄືກັບ standalone ຫຼາຍ - ແຕ່ແລ່ນຕະຫຼອດໄປ (ຖ້າທ່ານເຄີຍມີ
ຕ້ອງການ?). ເບິ່ງພື້ນທີ່ດິສກ໌ຂອງເຈົ້າ!
ຫມາຍເຫດ: ນີ້ແມ່ນການເຮັດວຽກທີ່ມີຄວາມຄືບຫນ້າ, ບາງລະຫັດແມ່ນບໍ່ມີພຽງເລັກນ້ອຍ.
ຄຳແນະນຳ
· ແລ່ນ chaosreader ໃນໄດເລກະທໍລີຫວ່າງເປົ່າ.
· ສ້າງແພັກເກັດນ້ອຍໆ. Chaosreader ໃຊ້ປະມານ 5x ຂອງຂະຫນາດ dump ໃນຫນ່ວຍຄວາມຈໍາ. A 100Mb
ໄຟລ໌ອາດຈະຕ້ອງການ 500Mb ຂອງ RAM ເພື່ອປະມວນຜົນ.
· tcpdump ຂອງທ່ານອາດຈະອະນຸຍາດໃຫ້ ".-s0" (ທັງຊຸດ) ແທນ "-s9000".
· ລະວັງການໃຊ້ພື້ນທີ່ດິສກ໌ຫຼາຍເກີນໄປ, ໂດຍສະເພາະໂໝດສະແຕນອະໂລນ.
· ຖ້າຫາກວ່າທ່ານເກັບກໍາຂໍ້ມູນການເຊື່ອມຕໍ່ຂະຫນາດນ້ອຍຫຼາຍເກີນໄປໃຫ້ index.html ຂະຫນາດໃຫຍ່, ພະຍາຍາມນໍາໃຊ້ -m
ທາງເລືອກທີ່ຈະບໍ່ສົນໃຈການເຊື່ອມຕໍ່ຂະຫນາດນ້ອຍ. ຕົວຢ່າງ "-m 1k".
· ບັນທຶກ snoop ຕົວຈິງແລ້ວອາດຈະເຮັດວຽກດີກວ່າ. ບັນທຶກ Snoop ແມ່ນອີງໃສ່ RFC1761, ຢ່າງໃດກໍຕາມມີ
ຫຼາຍໆຊະນິດຂອງ tcpdump/libpcap ແລະໂຄງການນີ້ບໍ່ສາມາດອ່ານໄດ້ທັງໝົດ. ຖ້າເຈົ້າມີ
Ethereal ທ່ານສາມາດສ້າງບັນທຶກ snoop ໃນໄລຍະ "save as" ທາງເລືອກ. ໃນ Solaris ໃຊ້ "snoop
-o logfile".
· ບັນທຶກ tcpdump ອາດຈະບໍ່ເຄື່ອນທີ່ລະຫວ່າງ OS ທີ່ໃຊ້ເວລາທີ່ມີຂະຫນາດທີ່ແຕກຕ່າງກັນຫຼື
ປາຍ.
· ບັນທຶກແມ່ນໄດ້ຖືກສ້າງຕັ້ງຂື້ນທີ່ດີທີ່ສຸດໃນລະບົບໄຟລ໌ຫນ່ວຍຄວາມຈໍາສໍາລັບຄວາມໄວ, ໂດຍປົກກະຕິ /tmp.
· ສໍາລັບການຫຼິ້ນ X11 ຫຼື VNC, ການປະຕິບັດຄັ້ງທໍາອິດໂດຍການຫຼິ້ນຄືນກອງປະຊຸມທີ່ຈັບໄດ້ທີ່ຜ່ານມາຂອງທ່ານ
ຂອງຕົນເອງ. ບັນຫາໃຫຍ່ທີ່ສຸດແມ່ນຄວາມເລິກຂອງສີ, ຫນ້າຈໍຂອງທ່ານຕ້ອງກົງກັບການຈັບພາບ. ສໍາລັບ X11
ກວດສອບການກວດສອບຄວາມຖືກຕ້ອງ (xhost +), ສໍາລັບ VNC ກວດເບິ່ງຕົວເລືອກຜູ້ຊົມ (-8 ບິດ, "Hextile",
... )
· ການວິເຄາະ SSH ສາມາດໄດ້ຮັບການປະຕິບັດກັບໂຄງການ "sshkeydata" ດັ່ງທີ່ສະແດງໃຫ້ເຫັນໃນ
http://www.brendangregg.com/sshanalysis.html . chaosreader ສະຫນອງໄຟລ໌ປ້ອນຂໍ້ມູນ
(*.keydata) ທີ່ sshkeydata ວິເຄາະ.
ໃຊ້ chaosreader ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net