Dit is de commandochaoslezer die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
chaoslezer - traceer netwerksessies en exporteer deze naar html-formaat
KORTE INHOUD
chaoslezer
chaoslezer [-aehikqrvxAHIRTUXY] [-D dir]
[-b poort[,...]] [-B haven[,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l poort[,...]] [-L poort[,...]] [-m bytes[k]]
[-M bytes[k]] [-o "tijd"|"grootte"|"type"|"ip"]
[-p poort[,...]] [-P haven[,...]]
in bestand [inbestand2
chaoslezer -s [mins -S [mins[,graaf]]
[-z] [-f 'filter']
PRODUCTBESCHRIJVING
Chaosreader traceert TCP/UDP/andere sessies en haalt toepassingsgegevens op van snoop of
tcpdump-logboeken. Dit is een soort "any-snarf"-programma, omdat het telnet-sessies en FTP ophaalt
bestanden, HTTP-overdrachten (HTML, GIF, JPEG enz.) en SMTP-e-mails van de vastgelegde gegevens erin
netwerkverkeerlogboeken. Er wordt een HTML-indexbestand gemaakt dat naar de hele sessie linkt
details, inclusief realtime herhalingsprogramma's voor telnet-, rlogin-, IRC-, X11- en VNC-sessies.
Chaosreader-rapporten zoals beeldrapporten en HTTP GET/POST-inhoudsrapporten.
Chaosreader kan ook in stand-alone modus worden uitgevoerd, waarbij het tcpdump aanroept om het logboek te maken
bestanden en verwerkt ze vervolgens.
OPTIES
-een, --sollicitatie
Toepassingssessiebestanden maken (standaard)
-e, --alles
Maak HTML 2-way & hex-bestanden voor alles
-h Druk een korte hulp af
--help Druk uitgebreide hulp (deze) en versie af
--help2
Print enorme hulp
-l, --info
Infobestand maken
-Q, --stil
Stil, geen uitvoer naar het scherm
-R, --rauw
Maak onbewerkte bestanden
-in, --uitgebreid
Verbose - Creëer ALLE bestanden .. (behalve -e)
-X, --inhoudsopgave
Indexbestanden maken (standaard)
-EEN, --geen toepassing
Sluit toepassingssessiebestanden uit
-H, --hexadecimaal
Inclusief hex-dumps (langzaam)
-L, --geen informatie
Sluit infobestanden uit
-R, --nauw
Sluit onbewerkte bestanden uit
-T, --notcp
Sluit TCP-verkeer uit
-U, --noudp
Sluit UDP-verkeer uit
-Ja, --noicmp
Sluit ICMP-verkeer uit
-X, --geenindex
Indexbestanden uitsluiten
-k, --belangrijke gegevens
Maak extra bestanden voor toetsaanslaganalyse
-D dir, --dir dir
Voer alle bestanden uit naar deze map
-b 25,79, --playtcp 25,79
speel deze TCP-poorten ook opnieuw af (afspelen)
-B 36,42, --playudp 36,42
speel deze UDP-poorten ook opnieuw af (afspelen)
-l 7,79, --htmltcp 7,79
Maak ook HTML voor deze TCP-poorten
-L 7,123, --htmludp 7,123
Maak ook HTML voor deze UDP-poorten
-m 1k, --min 1k
Minimale verbindingsgrootte die moet worden opgeslagen ("k" voor Kb)
-M 1024k, --max 1k
Maximale grootte van de verbinding om op te slaan ("k" voor Kb)
-o grootte, --soort grootte
sorteervolgorde: tijd/grootte/type/ip (standaardtijd)
-p 21,23, --haven 21,23
Onderzoek alleen deze poorten (TCP & UDP)
-P 80,81, --geen poort 80,81
Sluit deze poorten uit (TCP en UDP)
-s 5, --loop een keer 5
Op zichzelf staand. Voer tcpdump/snoop uit voor 5 mins.
-S 5,10, --veel 5,10
Op zichzelf staand, velen. 10 monsters van 5 mins elk.
-S 5, --veel 5
Op zichzelf staand, eindeloos. Monsters van 5 minuten voor altijd.
-z, --herhaal
Op zichzelf staand, opnieuw doen. Herleest de logboeken van de laatste run.
-j 10.1.2.1, --ipaddr 10.1.2.1
Onderzoek alleen deze IP's
-J 10.1.2.1, --noipaddr 10.1.2.1
Sluit deze IP's uit
-f 'haven 7', --filter 'haven 7'
Gebruik bij standalone dit dumpfilter.
OUTPUT FILES
index.html
Html-index (volledige details)
index.tekst
Tekstindex
index.bestand
Bestandsindex voor stand-alone redo-modus
afbeelding.html
HTML-rapport van afbeeldingen
getpost.html
HTML-rapport van HTTP GET/POST-verzoeken
sessie_0001.info
Infobestand dat TCP-sessie #1 beschrijft
sessie_0001.telnet.html
HTML-gekleurde 2-weg opname (op tijd gesorteerd)
sessie_0001.telnet.raw
Ruwe data 2-weg capture (tijd gesorteerd)
sessie_0001.telnet.raw1
Raw 1-way capture (geassembleerd) server->client
sessie_0001.telnet.raw2
Raw 1-way capture (geassembleerd) client->server
sessie_0002.web.html
HTML gekleurd 2-weg
sessie_0002.part_01.html
HTTP-gedeelte van het bovenstaande, een HTML-bestand
sessie_0003.web.html
HTML gekleurd 2-weg
sessie_0003.part_01.jpeg
HTTP-gedeelte van het bovenstaande, een JPEG-bestand
sessie_0004.web.html
HTML gekleurd 2-weg
sessie_0004.part_01.gif
HTTP-gedeelte van het bovenstaande, een GIF-bestand
sessie_0005.part_01.ftp-data.gz
Een FTP-overdracht, een gz-bestand.
OVEREENKOMSTEN
sessie_*
TCP-sessies
stroom_*
UDP-streams
icmp_* ICMP-pakketten
index.html
HTML-index
index.tekst
Tekstindex
index.bestand
Bestandsindex alleen voor standalone redo-modus
afbeelding.html
HTML-rapport van afbeeldingen
getpost.html
HTML-rapport van HTTP GET/POST-verzoeken
*.info Infobestand dat de sessie/stroom beschrijft
*.rauw Ruwe data 2-weg capture (tijd gesorteerd)
*.rauw1 Raw 1-way capture (geassembleerd) server->client
*.rauw2 Raw 1-way capture (geassembleerd) client->server
*.herhaling
Programma voor het herhalen van sessies (perl)
*.gedeeltelijk.*
Gedeeltelijke opname (tcpdump/snoop was op de hoogte van drops)
*.hex.html
2-weg Hex-dump, weergegeven in gekleurde HTML
*.hex.tekst
2-weg Hex-dump in platte tekst
*.X11.herhalen
X11 herhalingsscript (praat met X11)
*.textX11.herhalen
X11 gecommuniceerd script voor opnieuw afspelen van tekst (alleen tekst)
*.tekstX11.html
2-weg tekstrapport, weergegeven in rood/blauw HTML
*.belangrijke gegevens
Gegevensbestand toetsaanslagvertraging. Gebruikt voor SSH-analyse.
MODES
Normaal bijv. "chaoslezer in bestand", hier is eerder een tcpdump/snoop-bestand gemaakt
en chaoslezer leest en verwerkt het.
Standalone eens
bijv. "chaoslezer -s 10" dit is waar chaoslezer voert tcpdump/snoop uit en genereert
het logbestand, in dit geval gedurende 10 minuten, en verwerkt vervolgens het resultaat. Sommige
Het is mogelijk dat besturingssystemen geen tcpdump of snoop beschikbaar hebben, dus dit zal niet werken (in plaats daarvan kunt u
Ethereal kunnen downloaden, uitvoeren, opslaan in een bestand en vervolgens de normale modus gebruiken). Er is een
master index.html en het rapport index.html in een sub dir, dat van het formaat is
uit_JJJJMMDD-hhmm, bijvoorbeeld "uit_20031003-2221".
Zelfstandig, veel
bijv. "chaoslezer -S 5,12", dit is waar chaoslezer voert tcpdump/snoop uit en
genereert veel logbestanden, in dit geval worden er twaalf keer monsters genomen gedurende elk 12 minuten.
Terwijl dit loopt, kan de master index.html worden bekeken om de voortgang te bekijken
links naar secundaire index.html-rapporten in elke subdirectory.
Zelfstandig, opnieuw doen
bijv. "chaoslezer -ve -z", (de -z), dit is waar een op zichzelf staande opname plaatsvond
eerder uitgevoerd - en nu wilt u de logboeken opnieuw verwerken - misschien met
verschillende opties (in dit geval "-ve"). Het leest index.file om te bepalen welke
logboeken vastleggen om te lezen.
Zelfstandig, eindeloos
bijv. "chaoslezer -S 5", zoals veel op zichzelf staande - maar werkt voor altijd (als je ooit de
behoefte?). Let op uw schijfruimte!
Let op: dit is een work in progress, een deel van de code is een beetje ongepolijst.
ADVIEZEN
· Loop chaoslezer in een lege map.
· Maak kleine pakketdumps. Chaosreader gebruikt ongeveer 5x de dumpgrootte in het geheugen. Een 100Mb
bestand kan 500 MB RAM nodig hebben om te verwerken.
· Uw tcpdump staat mogelijk "-s0" (hele pakket) in plaats van "-s9000".
· Pas op dat u niet te veel schijfruimte gebruikt, vooral in de stand-alone modus.
· Als u te veel kleine verbindingen vastlegt die een enorme index.html opleveren, probeer dan de -m
optie om kleine verbindingen te negeren. bijv. "-m 1k".
· Snoop-logboeken werken misschien beter. Snoop-logboeken zijn gebaseerd op RFC1761, maar die zijn er wel
Er zijn veel varianten van tcpdump/libpcap en dit programma kan ze niet allemaal lezen. Als je hebt
Ethereal kunt u snoop-logs maken tijdens de optie "opslaan als". Gebruik op Solaris "snoop
-o logbestand".
· tcpdump-logboeken zijn mogelijk niet overdraagbaar tussen besturingssystemen die tijdstempels of tijdstempels van verschillende grootte gebruiken
endiaan.
· Logboeken kunnen vanwege snelheid het beste worden aangemaakt in een geheugenbestandssysteem, meestal /tmp.
· Oefen voor X11- of VNC-weergaven eerst door een recent vastgelegde sessie van uw
eigen. Het grootste probleem is de kleurdiepte, je scherm moet overeenkomen met de opname. Voor X11
controleer authenticatie (xhost +), controleer voor VNC de viewersopties (-8bit, "Hextiel",
...)
· SSH-analyse kan worden uitgevoerd met het programma "sshkeydata", zoals gedemonstreerd op
http://www.brendangregg.com/sshanalysis.html . chaoslezer levert de invoerbestanden
(*.keydata) die sshkeydata analyseert.
Gebruik chaosreader online met behulp van onworks.net-services
