Jest to narzędzie chaosreader poleceń, które można uruchomić u bezpłatnego dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
Czytelnik chaosu - śledzenie sesji sieciowych i eksportowanie ich do formatu html
STRESZCZENIE
Czytelnik chaosu
Czytelnik chaosu [-aehikqrvxAHIRTUXY] [-D reż]
[-b Port[,...]] [-B Port[,...]]
[-j Adres IP[,...]] [-J Adres IP[,...]]
[-l Port[,...]] [-L Port[,...]] [-m bajty [k]]
[-M bajty [k]] [-o "czas"|"rozmiar"|"typ"|"ip"]
[-p Port[,...]] [-P Port[,...]]
w pliku [plik wejściowy2 ...]
Czytelnik chaosu -s [Min] | -S [Min[,liczyć]]
[-z] [-f 'filtr']
OPIS
Chaosreader śledzi sesje TCP/UDP/inne i pobiera dane aplikacji z snoop lub
logi tcpdump. Jest to program typu „any-snarf”, ponieważ pobiera sesje telnet, FTP
pliki, transfery HTTP (HTML, GIF, JPEG itp.) i e-maile SMTP z przechwyconych danych
dzienniki ruchu sieciowego. Tworzony jest plik indeksu html, który łączy się z całą sesją
szczegóły, w tym programy do odtwarzania w czasie rzeczywistym dla sesji telnet, rlogin, IRC, X11 i VNC.
Raporty Chaosreader, takie jak raporty obrazów i raporty treści HTTP GET/POST.
Chaosreader może również działać w trybie autonomicznym, w którym wywołuje tcpdump w celu utworzenia dziennika
plików, a następnie je przetwarza.
OPCJE
-za, --aplikacja
Utwórz pliki sesji aplikacji (domyślnie)
-mi, --wszystko
Twórz dwukierunkowe i szesnastkowe pliki HTML do wszystkiego
-h Wydrukuj krótką pomoc
--help Wydrukuj szczegółową pomoc (to) i wersję
--pomoc2
Wydrukuj ogromną pomoc
-ja, --informacje
Utwórz plik informacyjny
-Q, --cichy
Cichy, brak wyjścia na ekran
-R, --surowe
Twórz surowe pliki
-v, --gadatliwy
Verbose - Utwórz WSZYSTKIE pliki .. (oprócz -e)
-X, --indeks
Utwórz pliki indeksu (domyślnie)
-DO, --brak aplikacji
Wyklucz pliki sesji aplikacji
-H, --klątwa
Uwzględnij zrzuty szesnastkowe (wolne)
-i, --brak informacji
Wyklucz pliki informacyjne
-R, --noraw
Wyklucz surowe pliki
-T, --notcp
Wyklucz ruch TCP
-Ty, --noudp
Wyklucz ruch UDP
-T, --noicmp
Wyklucz ruch ICMP
-X, --noindex
Wyklucz pliki indeksu
-k, --kluczowe dane
Twórz dodatkowe pliki do analizy naciśnięć klawiszy
-D reż, --reż reż
Wypisz wszystkie pliki do tego katalogu
-b 25,79, --playtcp 25,79
odtwórz również te porty TCP (odtwarzanie)
-B 36,42, --playupp 36,42
odtwórz również te porty UDP (odtwarzanie)
-l 7,79, --htmltcp 7,79
Utwórz również kod HTML dla tych portów TCP
-L 7,123, --htmludp 7,123
Utwórz również kod HTML dla tych portów UDP
-m 1k, -- min 1k
Minimalny rozmiar połączenia do zapisania („k” dla Kb)
-M 1024k, --maks 1k
Maksymalny rozmiar połączenia do zapisania („k” dla Kb)
-o rozmiar, --sortować rozmiar
Kolejność sortowania: czas/rozmiar/typ/ip (domyślny czas)
-p 21,23, --Port 21,23
Sprawdzaj tylko te porty (TCP i UDP)
-P 80,81, --nieport 80,81
Wyklucz te porty (TCP i UDP)
-s 5, --uruchomione raz 5
Samodzielny. Uruchom tcpdump/snoop dla wersji 5 Min.
-S 5,10, --uciekaj 5,10
Samodzielny, wiele. 10 próbek po 5 Min każdy.
-S 5, --uciekaj 5
Samodzielny, nieskończony. 5 minut próbki na zawsze.
-z, --uruchom ponownie
Samodzielny, powtórz. Ponownie odczytuje dzienniki ostatniego uruchomienia.
-j 10.1.2.1, --ipaddr 10.1.2.1
Sprawdzaj tylko te adresy IP
-J 10.1.2.1, --noipaddr 10.1.2.1
Wyklucz te adresy IP
-f 'Port 7', --filtr 'Port 7'
W trybie autonomicznym użyj tego filtra zrzutu.
WYDAJNOŚĆ AKTA
index.html
Indeks HTML (pełne szczegóły)
indeks.tekst
Indeks tekstowy
index.plik
Indeks plików dla samodzielnego trybu ponawiania
obraz.html
Raport HTML obrazów
getpost.html
Raport HTML żądań HTTP GET/POST
sesja_0001.informacje
Plik informacyjny opisujący sesję TCP nr 1
sesja_0001.telnet.html
Dwukierunkowe przechwytywanie w kolorze HTML (posortowane według czasu)
sesja_0001.telnet.raw
Surowe dane 2-kierunkowe przechwytywanie (posortowane według czasu)
sesja_0001.telnet.raw1
Surowy jednokierunkowy serwer przechwytywania (zmontowany)->klient
sesja_0001.telnet.raw2
Surowe, jednokierunkowe przechwytywanie (zmontowane) klient->serwer
sesja_0002.web.html
Dwukierunkowy kolorowy HTML
sesja_0002.część_01.html
Część HTTP powyższego, plik HTML
sesja_0003.web.html
Dwukierunkowy kolorowy HTML
sesja_0003.part_01.jpeg
Część HTTP powyższego, plik JPEG
sesja_0004.web.html
Dwukierunkowy kolorowy HTML
sesja_0004.part_01.gif
Część HTTP powyższego, plik GIF
sesja_0005.część_01.ftp-data.gz
Transfer FTP, plik gz.
KONWENCJE
sesja_*
Sesje TCP
strumień_*
Strumienie UDP
icmp_* pakiety ICMP
index.html
Indeks HTML
indeks.tekst
Indeks tekstowy
index.plik
Indeks plików tylko dla samodzielnego trybu ponownego wykonania
obraz.html
Raport HTML obrazów
getpost.html
Raport HTML żądań HTTP GET/POST
*.informacje Plik informacyjny opisujący Sesję/Strumień
*.surowy Surowe dane 2-kierunkowe przechwytywanie (posortowane według czasu)
*.surowy1 Surowy jednokierunkowy serwer przechwytywania (zmontowany)->klient
*.surowy2 Surowe, jednokierunkowe przechwytywanie (zmontowane) klient->serwer
*.powtórna rozgrywka
Program do odtwarzania sesji (perl)
*.częściowy.*
Częściowe przechwytywanie (tcpdump/snoop był świadomy spadków)
*.heks.html
Dwukierunkowy zrzut szesnastkowy, renderowany w kolorowym HTML
*.tekst szesnastkowy
Dwukierunkowy zrzut szesnastkowy w postaci zwykłego tekstu
*.X11.powtórka
Skrypt powtórki X11 (mówi X11)
*.tekstX11.powtórka
Skrypt powtórki tekstu komunikowanego przez X11 (tylko tekst)
*.tekstX11.html
Dwukierunkowy raport tekstowy renderowany w czerwono-niebieskim formacie HTML
*.kluczowe dane
Plik danych opóźnienia naciśnięcia klawisza. Używany do analizy SSH.
TRYBY
Normalna np "Czytelnik chaosu w pliku”, w tym miejscu wcześniej utworzono plik tcpdump/snoop
i Czytelnik chaosu czyta i przetwarza.
Standalone pewnego razu
np "Czytelnik chaosu -s 10" to jest to miejsce Czytelnik chaosu uruchamia tcpdump/snoop i generuje
plik dziennika, w tym przypadku przez 10 i minut, a następnie przetwarza wynik. Niektóre
Systemy operacyjne mogą nie mieć dostępnego tcpdump lub snoop, więc to nie zadziała (zamiast tego możesz
być w stanie pobrać Ethereal, uruchomić go, zapisać do pliku, a następnie użyć trybu normalnego). Tam jest
master index.html i raport index.html w sub reż, który ma format
out_RRRRMMDD-ggmm, np. "out_20031003-2221".
Samodzielny, wiele
np "Czytelnik chaosu -S 5,12", oto gdzie Czytelnik chaosu uruchamia tcpdump/snoop i
generuje wiele plików dziennika, w tym przypadku próbkuje 12 razy po 5 minut każdy.
Gdy to jest uruchomione, główny index.html można przeglądać, aby obserwować postęp, który
linki do mniejszych raportów index.html w każdym podkatalogu.
Samodzielny, redo
np "Czytelnik chaosu -we -z", (tzw -z), tutaj było samodzielne przechwytywanie
poprzednio wykonane - a teraz chciałbyś ponownie przetworzyć dzienniki - być może za pomocą
różne opcje (w tym przypadku „-we"). Odczytuje plik index.file, aby określić, który
przechwytywanie dzienników do odczytania.
Samodzielny, nieskończona
np "Czytelnik chaosu -S 5", jak wiele samodzielnych - ale działa wiecznie (jeśli kiedykolwiek miałeś
potrzebować?). Uważaj na miejsce na dysku!
Uwaga: to jest praca w toku, część kodu jest trochę niedopracowana.
PORADY
· Biegać Czytelnik chaosu w pustym katalogu.
· Tworzenie małych zrzutów pakietów. Chaosreader zużywa około 5x większy rozmiar zrzutu w pamięci. 100 MB
plik może wymagać 500 MB pamięci RAM do przetworzenia.
· Twój tcpdump może zezwolić na „-s0" (cały pakiet) zamiast "-s9000".
· Strzeż się używania zbyt dużej ilości miejsca na dysku, zwłaszcza w trybie autonomicznym.
· Jeśli przechwytujesz zbyt wiele małych połączeń, co daje ogromny plik index.html, spróbuj użyć -m
opcja ignorowania małych połączeń. np "-m 1k".
· logi snoop mogą faktycznie działać lepiej. Dzienniki Snoop są oparte na RFC1761, jednak istnieją
wiele odmian tcpdump/libpcap i ten program nie może ich wszystkich odczytać. Jeśli masz
Ethereal możesz tworzyć logi snoop podczas opcji „zapisz jako”. W systemie Solaris użyj „snoop
-o plik dziennika".
· Dzienniki tcpdump mogą nie być przenośne między systemami operacyjnymi, które używają znaczników czasu o różnych rozmiarach lub
endian.
· Logi są najlepiej tworzone w systemie plików pamięci dla szybkości, zazwyczaj /tmp.
· W przypadku odtwarzania X11 lub VNC najpierw poćwicz, odtwarzając ostatnio przechwyconą sesję
własny. Największym problemem jest głębia kolorów, ekran musi pasować do przechwytywania. Dla X11
sprawdź uwierzytelnianie (xhost +), dla VNC sprawdź opcje przeglądarek (-8 bitowy, „Hekstyl”,
...)
· Analizę SSH można przeprowadzić za pomocą programu „sshkeydata”, jak pokazano na
http://www.brendangregg.com/sshanalysis.html . Czytelnik chaosu udostępnia pliki wejściowe
(*.keydata), który analizuje sshkeydata.
Korzystaj z chaosreadera online, korzystając z usług onworks.net