Este é o leitor de caos de comandos que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
caosreader - rastrear sessões de rede e exportá-las para o formato html
SINOPSE
caosreader
caosreader [-aehikqrvxAHIRTUXY] [-D dir]
[-b porta [, ...]] [-B porta[,...]]
[-j IPaddr [, ...]] [-J IPaddr [, ...]]
[-l porta [, ...]] [-L porta [, ...]] [-m bytes [k]]
[-M bytes [k]] [-o "tempo" | "tamanho" | "tipo" | "ip"]
[-p porta [, ...]] [-P porta[,...]]
no arquivo [arquivo2 ...]
caosreader -s [minutos] -S [minutos[,contar]]
[-z] [-f 'filtro']
DESCRIÇÃO
Chaosreader rastreia sessões TCP / UDP / outros e busca dados do aplicativo de snoop ou
logs do tcpdump. Este é um tipo de programa "any-snarf", pois irá buscar sessões telnet, FTP
arquivos, transferências HTTP (HTML, GIF, JPEG etc) e e-mails SMTP dos dados capturados dentro
logs de tráfego de rede. Um arquivo de índice html é criado para vincular a toda a sessão
detalhes, incluindo programas de reprodução em tempo real para sessões telnet, rlogin, IRC, X11 e VNC.
Relatórios do Chaosreader, como relatórios de imagem e relatórios de conteúdo HTTP GET / POST.
Chaosreader também pode ser executado no modo autônomo, onde invoca o tcpdump para criar o log
arquivos e depois os processa.
OPÇÕES
-uma, --aplicativo
Criar arquivos de sessão de aplicativo (padrão)
-e --tudo
Crie arquivos HTML bidirecionais e hexadecimais para tudo
-h Imprima uma breve ajuda
--Socorro Imprimir ajuda detalhada (este) e versão
--ajuda2
Imprimir ajuda massiva
-eu, --informações
Criar arquivo de informação
-q, --quieto
Silencioso, sem saída para a tela
-r, --cru
Crie arquivos brutos
-dentro, --verbose
Detalhado - Crie TODOS os arquivos .. (exceto -e)
-x, --índice
Criar arquivos de índice (padrão)
-UMA, --noapplication
Excluir arquivos de sessão de aplicativo
-H, --hex.
Incluir hex dumps (lento)
-EU, --Nenhuma informação
Excluir arquivos de informação
-R, --nora
Excluir arquivos brutos
-T, --notcp
Exclua o tráfego TCP
-VOCÊ, --noudp
Excluir tráfego UDP
-Sim, --noicmp
Exclua o tráfego ICMP
-X, --noindex
Excluir arquivos de índice
-k, --data chave
Crie arquivos extras para análise de pressionamento de tecla
-D dir, --dir dir
Saída de todos os arquivos para este diretório
-b 25,79, --playtcp 25,79
reproduzir essas portas TCP também (reprodução)
-B 36,42, --playudp 36,42
reproduzir essas portas UDP também (reprodução)
-l 7,79, --htmltcp 7,79
Crie HTML para essas portas TCP também
-L 7,123, --htmludp 7,123
Crie HTML para essas portas UDP também
-m 1k, --min 1k
Tamanho mínimo de conexão para salvar ("k" para Kb)
-M 1024k, --máx. 1k
Tamanho máximo da conexão para salvar ("k" para Kb)
-o tamanho, --ordenar tamanho
ordem de classificação: tempo / tamanho / tipo / ip (tempo padrão)
-p 21,23, --porta 21,23
Examine apenas essas portas (TCP e UDP)
-P 80,81, --sem porta 80,81
Exclua essas portas (TCP e UDP)
-s 5, --Executar Uma Vez 5
Estar sozinho. Execute tcpdump / snoop por 5 minutos.
-S 5,10, --runmany 5,10
Autônomo, muitos. 10 amostras de 5 minutos cada.
-S 5, --runmany 5
Autônomo, sem fim. Amostras de 5 minutos para sempre.
-z, --runredo
Independente, refaça. Releia os registros da última execução.
-j 10.1.2.1, --ipaddr 10.1.2.1
Examine apenas esses IPs
-J 10.1.2.1, --noipaddr 10.1.2.1
Exclua esses IPs
-f 'porta 7 ', --filtro 'porta 7'
Com o autônomo, use este filtro de despejo.
SAÍDA ARQUIVOS
index.html
Índice html (detalhes completos)
índice.texto
Índice de texto
arquivo.index
Índice de arquivo para modo de refazer autônomo
imagem.html
Relatório HTML de imagens
getpost.html
Relatório HTML de solicitações HTTP GET / POST
sessão_0001.info
Arquivo de informações que descreve a sessão TCP # 1
sessão_0001.telnet.html
Captura bidirecional colorida em HTML (classificação por tempo)
sessão_0001.telnet.raw
Captura bidirecional de dados brutos (classificação por tempo)
sessão_0001.telnet.raw1
Captura bruta de uma via (montada) servidor-> cliente
sessão_0001.telnet.raw2
Captura bruta de uma via (montada) cliente-> servidor
sessão_0002.web.html
HTML colorido bidirecional
sessão_0002.part_01.html
Parte HTTP do acima, um arquivo HTML
sessão_0003.web.html
HTML colorido bidirecional
sessão_0003.part_01.jpeg
Parte HTTP do acima, um arquivo JPEG
sessão_0004.web.html
HTML colorido bidirecional
sessão_0004.part_01.gif
Parte HTTP do acima, um arquivo GIF
session_0005.part_01.ftp-data.gz
Uma transferência de FTP, um arquivo gz.
CONVENÇÕES
sessão_*
Sessões TCP
Stream_*
Streams UDP
icmp_ * Pacotes ICMP
index.html
Índice HTML
índice.texto
Índice de Texto
arquivo.index
Índice de arquivo apenas para modo de refazer autônomo
imagem.html
Relatório HTML de imagens
getpost.html
Relatório HTML de solicitações HTTP GET / POST
* .info Arquivo de informações que descreve a Sessão / Fluxo
*.cru Captura bidirecional de dados brutos (classificação por tempo)
* .raw1 Captura bruta de uma via (montada) servidor-> cliente
* .raw2 Captura bruta de uma via (montada) cliente-> servidor
* .replay
Programa de repetição de sessão (perl)
*.parcial.*
Captura parcial (tcpdump / snoop estava ciente das quedas)
* .hex.html
Despejo hexadecimal de 2 vias, renderizado em HTML colorido
* .hex.text
Despejo hexadecimal de 2 vias em texto simples
* .X11.replay
Script de replay X11 (fala X11)
* .textX11.replay
Script de repetição de texto comunicado X11 (somente texto)
* .textX11.html
Relatório de texto bidirecional, renderizado em HTML vermelho / azul
*.data chave
Arquivo de dados de atraso de pressionamento de tecla. Usado para análise de SSH.
MODOS
Normal por exemplo "caosreader no arquivo", é aqui que um arquivo tcpdump / snoop foi criado anteriormente
e caosreader lê e processa.
Standalone uma vez
por exemplo "caosreader -s 10 "é aqui que caosreader executa tcpdump / snoop e gera
o arquivo de log, neste caso por 10 i minutos, e então processa o resultado. Algum
Os sistemas operacionais podem não ter tcpdump ou snoop disponível, então isso não funcionará (em vez disso, você pode
conseguir obter o Ethereal, executá-lo, salvá-lo em um arquivo e usar o modo normal). Existe um
index.html mestre e o index.html de relatório em um sub dir, que é do formato
out_YYYYMMDD-hhmm, por exemplo, "out_20031003-2221".
Estar sozinho, muitos
por exemplo "caosreader -S 5,12 ", é aqui que caosreader executa tcpdump / snoop e
gera muitos arquivos de log, neste caso ele faz amostragem 12 vezes por 5 minutos cada.
Enquanto está em execução, o index.html mestre pode ser visualizado para observar o progresso, que
links para relatórios index.html secundários em cada subdiretório.
Estar sozinho, refazer
por exemplo "caosreader -ve -z", (a -z), é aqui que uma captura autônoma estava
realizado anteriormente - e agora você gostaria de reprocessar os registros - talvez com
opções diferentes (neste caso, "-ve"). Ele lê index.file para determinar qual
capturar logs para ler.
Estar sozinho, interminável
por exemplo "caosreader -S 5 ", como muitos independentes - mas funciona para sempre (se você já teve o
necessidade?). Cuidado com o espaço em disco!
Nota: este é um trabalho em andamento, parte do código está um pouco mal polido.
CONSELHOS
· Corre caosreader em um diretório vazio.
· Criar pequenos dumps de pacotes. Chaosreader usa cerca de 5 vezes o tamanho do dump na memória. A 100Mb
o arquivo pode precisar de 500 MB de RAM para ser processado.
· Seu tcpdump pode permitir "-s0"(pacote inteiro) em vez de"-s9000".
· Cuidado com o uso de muito espaço em disco, especialmente no modo autônomo.
· Se você capturar muitas conexões pequenas dando um grande index.html, tente usar o -m
opção de ignorar pequenas conexões. por exemplo "-m 1k ".
· Os logs de snoop podem funcionar melhor. Os logs do Snoop são baseados em RFC1761, no entanto, existem
muitos variantes de tcpdump / libpcap e este programa não pode ler todos eles. Se você tem
Ethereal você pode criar logs de snoop durante a opção "salvar como". No Solaris use "snoop
-o arquivo de log".
· Logs tcpdump podem não ser portáteis entre sistemas operacionais que usam carimbos de data / hora de tamanhos diferentes ou
endian.
· Logs são melhor criados em um sistema de arquivos de memória para velocidade, geralmente / tmp.
· Para reproduções X11 ou VNC, primeiro pratique reproduzindo uma sessão recente capturada de seu
ter. O maior problema é a profundidade da cor, sua tela deve corresponder à captura. Para X11
verifique a autenticação (xhost +), para VNC verifique as opções dos visualizadores (-8bit, "Hextil",
...)
· A análise SSH pode ser realizada com o programa "sshkeydata" conforme demonstrado em
http://www.brendangregg.com/sshanalysis.html . caosreader fornece os arquivos de entrada
(* .keydata) que sshkeydata analisa.
Use chaosreader online usando serviços onworks.net
