Ini ialah command chaosreader yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
pembaca huru hara - mengesan sesi rangkaian dan mengeksportnya ke format html
SINOPSIS
pembaca huru hara
pembaca huru hara [-aehikqrvxAHIRTUXY] [-D dir]
[-b pelabuhan [,...]] [-B pelabuhan [,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l pelabuhan [,...]] [-L pelabuhan [,...]] [-m bait[k]]
[-M bait[k]] [-o "masa"|"saiz"|"jenis"|"ip"]
[-p pelabuhan [,...]] [-P pelabuhan [,...]]
dalam fail [dalam fail2 ...]
pembaca huru hara -s [minit] | -S [minit[,kira]]
[-z] [-f 'penapis']
DESCRIPTION
Chaosreader mengesan sesi TCP/UDP/lain-lain dan mengambil data aplikasi daripada pengintip atau
log tcpdump. Ini adalah jenis program "sebarang-snarf", kerana ia akan mengambil sesi telnet, FTP
fail, pemindahan HTTP (HTML, GIF, JPEG dll) dan e-mel SMTP daripada data yang ditangkap di dalamnya
log trafik rangkaian. Fail indeks html dicipta untuk pautan ke semua sesi
butiran, termasuk program main semula masa nyata untuk sesi telnet, rlogin, IRC, X11 dan VNC.
Laporan Chaosreader seperti laporan imej dan laporan kandungan HTTP GET/POST.
Chaosreader juga boleh berjalan dalam mod kendiri, di mana ia memanggil tcpdump untuk mencipta log
fail dan kemudian memprosesnya.
PILIHAN
-A, --permohonan
Cipta fail sesi aplikasi (lalai)
-e, --semuanya
Cipta fail HTML 2 hala & hex untuk segala-galanya
-h Cetak bantuan ringkas
- membantu Cetak bantuan kata kerja (ini) dan versi
--bantu2
Cetak bantuan besar-besaran
-saya, --maklumat
Buat fail maklumat
-q, --senyap
Senyap, tiada output ke skrin
-r, --mentah
Buat fail mentah
-v, --verbose
Verbose - Buat SEMUA fail .. (kecuali -e)
-x, --indeks
Buat fail indeks (lalai)
-A, --noapplication
Kecualikan fail sesi permohonan
-H, --hex
Sertakan pembuangan hex (perlahan)
-saya, --noinfo
Kecualikan fail maklumat
-R, --noraw
Kecualikan fail mentah
-T, --notcp
Kecualikan trafik TCP
-U, --noudp
Kecualikan trafik UDP
-Y, --noicmp
Kecualikan trafik ICMP
-X, --noindex
Kecualikan fail indeks
-k, --data kunci
Cipta fail tambahan untuk analisis ketukan kekunci
-D dir, --dir dir
Output semua fail ke direktori ini
-b 25,79, --playtcp 25,79
main semula port TCP ini juga (main balik)
-B 36,42, --playudp 36,42
main semula port UDP ini juga (main balik)
-l 7,79, --htmltcp 7,79
Cipta HTML untuk port TCP ini juga
-L 7,123, --htmludp 7,123
Buat HTML untuk port UDP ini juga
-m 1k, --min 1k
Saiz minimum sambungan untuk disimpan ("k" untuk Kb)
-M 1024k, --maks 1k
Saiz maksimum sambungan untuk disimpan ("k" untuk Kb)
-o saiz, --sort saiz
isihan Pesanan: masa/saiz/jenis/ip (Masa lalai)
-p 21,23, --pelabuhan 21,23
Hanya periksa port ini (TCP & UDP)
-P 80,81, --noport 80,81
Kecualikan port ini (TCP & UDP)
-s 5, --runonce 5
Berdiri sendiri. Jalankan tcpdump/snoop selama 5 minit.
-S 5,10, --ramai 5,10
Berdiri sendiri, banyak. 10 sampel 5 minit setiap.
-S 5, --ramai 5
Berdiri sendiri, tidak berkesudahan. 5 min sampel selama-lamanya.
-z, --runredo
Berdiri sendiri, buat semula. Membaca semula log larian terakhir.
-j 10.1.2.1, --ipaddr 10.1.2.1
Hanya periksa IP ini
-J 10.1.2.1, --noipaddr 10.1.2.1
Kecualikan IP ini
-f 'pelabuhan 7', --penapis 'pelabuhan 7'
Dengan kendiri, gunakan penapis dump ini.
OUTPUT FILES
index.html
Indeks html (butiran penuh)
indeks.teks
Indeks teks
index.file
Indeks fail untuk mod buat semula kendiri
image.html
Laporan HTML imej
getpost.html
Laporan HTML permintaan HTTP GET/POST
session_0001.info
Fail maklumat yang menerangkan sesi TCP #1
session_0001.telnet.html
Tangkapan 2 hala berwarna HTML (masa diisih)
session_0001.telnet.raw
Tangkapan 2 hala data mentah (masa diisih)
session_0001.telnet.raw1
Pelayan tangkapan 1 hala mentah (dipasang)->klien
session_0001.telnet.raw2
Tangkapan 1 hala mentah (dipasang) klien->pelayan
session_0002.web.html
HTML berwarna 2 hala
session_0002.part_01.html
Bahagian HTTP di atas, fail HTML
session_0003.web.html
HTML berwarna 2 hala
session_0003.part_01.jpeg
Bahagian HTTP di atas, fail JPEG
session_0004.web.html
HTML berwarna 2 hala
session_0004.part_01.gif
Bahagian HTTP di atas, fail GIF
session_0005.part_01.ftp-data.gz
Pemindahan FTP, fail gz.
KONVENSYEN
sesi_*
Sesi TCP
aliran_*
Aliran UDP
icmp_* paket ICMP
index.html
Indeks HTML
indeks.teks
Indeks Teks
index.file
Indeks Fail untuk mod buat semula kendiri sahaja
image.html
Laporan HTML imej
getpost.html
Laporan HTML permintaan HTTP GET/POST
*.info Fail maklumat yang menerangkan Sesi/Strim
*.mentah Tangkapan 2 hala data mentah (masa diisih)
*.mentah1 Pelayan tangkapan 1 hala mentah (dipasang)->klien
*.mentah2 Tangkapan 1 hala mentah (dipasang) klien->pelayan
*.main semula
Program main semula sesi (perl)
*.separa.*
Tangkapan separa (tcpdump/snoop mengetahui tentang titisan)
*.hex.html
Lambakan Hex 2 hala, dipaparkan dalam HTML berwarna
*.hex.text
Lambakan Hex 2 hala dalam teks biasa
*.X11.main semula
Skrip ulang tayang X11 (cakap X11)
*.textX11.replay
Skrip ulang tayang teks X11 (teks sahaja)
*.textX11.html
Laporan teks 2 hala, dipaparkan dalam HTML merah/biru
*.keydata
Fail data kelewatan ketukan kekunci. Digunakan untuk analisis SSH.
MODUL
normal cth"pembaca huru hara dalam fail", di sinilah fail tcpdump/snoop dicipta sebelum ini
and pembaca huru hara membaca dan memprosesnya.
Standalone sekali
cth"pembaca huru hara -s 10" di sinilah pembaca huru hara menjalankan tcpdump/snoop dan menjana
fail log, dalam kes ini selama 10 i minit, dan kemudian memproses hasilnya. Beberapa
OS mungkin tidak mempunyai tcpdump atau snoop yang tersedia jadi ini tidak akan berfungsi (sebaliknya anda mungkin
boleh mendapatkan Ethereal, jalankannya, simpan ke fail, kemudian gunakan mod biasa). Ada
induk index.html dan laporan index.html dalam sub dir, yang dalam format
out_YYYYMMDD-hhmm, cth "out_20031003-2221".
Berdiri sendiri, banyak
cth"pembaca huru hara -S 5,12", di sinilah pembaca huru hara menjalankan tcpdump/snoop dan
menjana banyak fail log, dalam kes ini ia mengambil sampel 12 kali selama 5 minit setiap satu.
Semasa ini berjalan, index.html induk boleh dilihat untuk melihat kemajuan, yang
pautan ke laporan index.html kecil dalam setiap sub direktori.
Berdiri sendiri, buat semula
cth"pembaca huru hara -ve -z", (yang -z), di sinilah tangkapan kendiri
dilakukan sebelum ini - dan kini anda ingin memproses semula log - mungkin dengan
pilihan yang berbeza (dalam kes ini, "-ve"). Ia membaca index.file untuk menentukan yang mana
menangkap log untuk dibaca.
Berdiri sendiri, tidak berkesudahan
cth"pembaca huru hara -S 5", seperti banyak yang berdiri sendiri - tetapi berjalan selama-lamanya (jika anda pernah mempunyai
perlukan?). Perhatikan ruang cakera anda!
Nota: ini sedang dalam proses, beberapa kod tidak digilap sedikit.
NASIHAT
· Berlari pembaca huru hara dalam direktori kosong.
· Buat tempat pembuangan paket kecil. Chaosreader menggunakan sekitar 5x saiz dump dalam ingatan. A 100Mb
fail mungkin memerlukan 500Mb RAM untuk diproses.
· Tcpdump anda mungkin membenarkan "-s0" (keseluruhan paket) bukannya "-s9000".
· Berhati-hati menggunakan terlalu banyak ruang cakera, terutamanya mod kendiri.
· Jika anda menangkap terlalu banyak sambungan kecil yang memberikan index.html yang besar, cuba gunakan -m
pilihan untuk mengabaikan sambungan kecil. cth"-m 1k".
· log pengintipan sebenarnya boleh berfungsi dengan lebih baik. Log Snoop adalah berdasarkan RFC1761, walau bagaimanapun ada
banyak variasi tcpdump/libpcap dan program ini tidak boleh membaca semuanya. Jika anda mempunyai
Ethereal anda boleh membuat log intipan semasa pilihan "simpan sebagai". Pada Solaris gunakan "snoop
-o fail log".
· Log tcpdump mungkin tidak mudah alih antara OS yang menggunakan cap masa bersaiz berbeza atau
endian.
· Log paling baik dicipta dalam sistem fail memori untuk kelajuan, biasanya /tmp.
· Untuk main balik X11 atau VNC, mula-mula berlatih dengan memainkan semula sesi yang ditangkap baru-baru ini
milik sendiri. Masalah terbesar ialah kedalaman warna, skrin anda mesti sepadan dengan tangkapan. Untuk X11
semak pengesahan (xhost +), untuk VNC semak pilihan penonton (-8bit, "Hextile",
...)
· Analisis SSH boleh dilakukan dengan program "sshkeydata" seperti yang ditunjukkan pada
http://www.brendangregg.com/sshanalysis.html . pembaca huru hara menyediakan fail input
(*.keydata) yang dianalisis oleh sshkeydata.
Gunakan chaosreader dalam talian menggunakan perkhidmatan onworks.net