Acesta este chaosreaderul de comandă care poate fi rulat în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
haosreader - urmăriți sesiunile de rețea și exportați-l în format html
REZUMAT
haosreader
haosreader [-aehikqrvxAHIRTUXY] [-D dir]
[-b port[,...]] [-B port[,...]]
[-j Adresă IP[,...]] [-J Adresă IP[,...]]
[-l port[,...]] [-L port[,...]] [-m octeți[k]]
[-M octeți[k]] [-o "timp"|"dimensiune"|"tip"|"ip"]
[-p port[,...]] [-P port[,...]]
infile [infile2 ...]
haosreader -s [min] | -S [min[,numara]]
[-z] [-f 'filtru']
DESCRIERE
Chaosreader urmărește sesiunile TCP/UDP/altele și preia datele aplicației de la Snoop sau
jurnalele tcpdump. Acesta este un tip de program „orice-snarf”, deoarece va prelua sesiuni telnet, FTP
fișiere, transferuri HTTP (HTML, GIF, JPEG etc.) și e-mailuri SMTP din datele capturate din interior
jurnalele de trafic de rețea. Este creat un fișier index html cu care se leagă la toată sesiunea
detalii, inclusiv programe de reluare în timp real pentru sesiunile telnet, rlogin, IRC, X11 și VNC.
Rapoarte Chaosreader, cum ar fi rapoarte de imagine și rapoarte de conținut HTTP GET/POST.
Chaosreader poate rula și în modul independent, unde invocă tcpdump pentru a crea jurnalul
fișiere și apoi le procesează.
OPŢIUNI
-A, --aplicare
Creați fișiere de sesiune de aplicație (implicit)
-e, --Tot
Creați fișiere HTML bidirecționale și hexadecimale pentru orice
-h Imprimați un scurt ajutor
--Ajutor Tipăriți ajutorul (aceasta) și versiunea
--ajutor2
Imprimați ajutor masiv
-eu, --info
Creați fișierul de informații
-q, --Liniște
Silențios, fără ieșire pe ecran
-r, --brut
Creați fișiere brute
-v, --verbos
Verbose - Creați TOATE fișierele .. (cu excepția -e)
-X, --index
Creați fișiere index (implicit)
-A, --noapplication
Excludeți fișierele de sesiune de aplicație
-H, --hex
Includeți depozite hexagonale (lent)
-Eu, --noinfo
Excludeți fișierele de informații
-R, --noraw
Excludeți fișierele brute
-T, --notcp
Excludeți traficul TCP
-U, --noudp
Excludeți traficul UDP
-Y, --noicmp
Excludeți traficul ICMP
-X, --noindex
Excludeți fișierele index
-k, --date esentiale
Creați fișiere suplimentare pentru analiza apăsării tastei
-D dir, --dir dir
Ieșiți toate fișierele în acest director
-b 25,79, --playtcp 25,79
reda și aceste porturi TCP (redare)
-B 36,42, --playudp 36,42
reda și aceste porturi UDP (redare)
-l 7,79, --htmltcp 7,79
Creați HTML și pentru aceste porturi TCP
-L 7,123, --htmludp 7,123
Creați HTML și pentru aceste porturi UDP
-m 1k, --min 1k
Dimensiunea minimă a conexiunii de salvat ("k" pentru Kb)
-M 1024k, --max 1k
Dimensiunea maximă a conexiunii de salvat ("k" pentru Kb)
-o mărimea, --fel mărimea
Ordine de sortare: oră/dimensiune/tip/ip (ora implicită)
-p 21,23, --port 21,23
Examinați doar aceste porturi (TCP și UDP)
-P 80,81, --noport 80,81
Excludeți aceste porturi (TCP și UDP)
-s 5, --runnonce 5
De sine stătătoare. Rulați tcpdump/snoop pentru 5 min.
-S 5,10, --runmany 5,10
De sine stătător, multe. 10 mostre din 5 min fiecare.
-S 5, --runmany 5
De sine stătător, fără sfârșit. Probe de 5 minute pentru totdeauna.
-z, --runredo
Independent, reface. Recitește jurnalele ultimei rulări.
-j 10.1.2.1, --ipaddr 10.1.2.1
Examinați doar aceste IP-uri
-J 10.1.2.1, --noipaddr 10.1.2.1
Excludeți aceste IP-uri
-f 'port 7', --filtru 'port 7'
În mod independent, utilizați acest filtru de descărcare.
REZULTATE DOSARE
index.html
Index HTML (detalii complete)
index.text
Indexul textului
index.file
Index de fișiere pentru modul de refacere independent
imagine.html
Raport HTML al imaginilor
getpost.html
Raport HTML al solicitărilor HTTP GET/POST
session_0001.info
Fișier informativ care descrie sesiunea #1 TCP
session_0001.telnet.html
Captură bidirecțională color HTML (sortată în timp)
session_0001.telnet.raw
Captură bidirecțională a datelor brute (sortată în timp)
session_0001.telnet.raw1
Captură brută unidirecțională (asamblată) server->client
session_0001.telnet.raw2
Captură brută unidirecțională (asamblată) client->server
session_0002.web.html
HTML colorat în două sensuri
session_0002.part_01.html
Porțiunea HTTP din cele de mai sus, un fișier HTML
session_0003.web.html
HTML colorat în două sensuri
session_0003.part_01.jpeg
Porțiunea HTTP din cele de mai sus, un fișier JPEG
session_0004.web.html
HTML colorat în două sensuri
session_0004.part_01.gif
Porțiunea HTTP din cele de mai sus, un fișier GIF
session_0005.part_01.ftp-data.gz
Un transfer FTP, un fișier gz.
CONVENȚII
sesiune_*
Sesiuni TCP
curent_*
Fluxuri UDP
icmp_* Pachetele ICMP
index.html
Index HTML
index.text
Index text
index.file
Index de fișiere numai pentru modul de refacere autonom
imagine.html
Raport HTML al imaginilor
getpost.html
Raport HTML al solicitărilor HTTP GET/POST
*.info Fișier informativ care descrie sesiunea/fluxul
*.brut Captură bidirecțională a datelor brute (sortată în timp)
*.raw1 Captură brută unidirecțională (asamblată) server->client
*.raw2 Captură brută unidirecțională (asamblată) client->server
*.reluare
Program de reluare a sesiunii (perl)
*.parțial.*
Captură parțială (tcpdump/snoop au fost conștienți de picături)
*.hex.html
Dump Hex bidirecțional, redat în HTML colorat
*.text.hex
Dump Hex în 2 căi în text simplu
*.X11.reluare
Scriptul de reluare X11 (vorbește X11)
*.textX11.reluare
Script de redare a textului comunicat X11 (numai text)
*.textX11.html
Raport text bidirecțional, redat în HTML roșu/albastru
*.date esentiale
Fișier de date pentru întârzierea tastei. Folosit pentru analiza SSH.
MODURI
Normal de exemplu "haosreader infile", aici a fost creat anterior un fișier tcpdump/snoop
și haosreader îl citește și îl prelucrează.
autonomă dată
de exemplu "haosreader -s 10" aici este haosreader rulează tcpdump/snoop și generează
fișierul jurnal, în acest caz timp de 10 i minute, apoi procesează rezultatul. niste
Este posibil ca sistemele de operare să nu aibă disponibile tcpdump sau Snoop, așa că acest lucru nu va funcționa (în schimb, puteți
să puteți obține Ethereal, să îl rulați, să salvați într-un fișier, apoi să utilizați modul normal). Este un
master index.html și raportul index.html într-un sub dir, care este de format
out_YYYYMMDD-hhmm, de exemplu, „out_20031003-2221”.
De sine stătătoare, multe
de exemplu "haosreader -S 5,12", aici haosreader rulează tcpdump/snoop și
generează multe fișiere jurnal, în acest caz eșantioane de 12 ori timp de 5 minute fiecare.
În timp ce acesta rulează, index.html principal poate fi vizualizat pentru a urmări progresul, care
link-uri către rapoarte minore index.html din fiecare subdirector.
De sine stătătoare, refaceți
de exemplu "haosreader -ve -z", ( -z), aici a fost o captură de sine stătătoare
efectuat anterior - și acum ați dori să reprocesați jurnalele - poate cu
opțiuni diferite (în acest caz, "-ve"). Citește index.file pentru a determina care
captura jurnalele pentru a le citi.
De sine stătătoare, fără sfârşit
de exemplu "haosreader -S 5", ca multe autonome - dar rulează pentru totdeauna (dacă ați avut vreodată
nevoie?). Urmăriți spațiul pe disc!
Notă: aceasta este o lucrare în curs de desfășurare, o parte din cod este puțin neșlefuită.
SFATURI
· Alerga haosreader într-un director gol.
· Creați depozite mici de pachete. Chaosreader folosește de aproximativ 5 ori dimensiunea de descărcare în memorie. A 100 Mb
fișierul ar putea avea nevoie de 500 Mb de RAM pentru a fi procesat.
· Tcpdump-ul dvs. poate permite "-s0„ (întregul pachet) în loc de „-s9000".
· Atenție la utilizarea prea mult spațiu pe disc, în special modul de sine stătător.
· Dacă capturați prea multe conexiuni mici, oferind un index.html uriaș, încercați să utilizați -m
opțiunea de a ignora conexiunile mici. de exemplu "-m 1k".
· jurnalele de snoop ar putea funcționa mai bine. Jurnalele Snoop se bazează pe RFC1761, totuși există
multe variante de tcpdump/libpcap și acest program nu le poate citi pe toate. Daca ai
Ethereal, puteți crea jurnalele de snoop în timpul opțiunii „salvare ca”. Pe Solaris folosiți „snoop
-o fișier jurnal".
· jurnalele tcpdump pot să nu fie portabile între sistemele de operare care utilizează marcaje temporale de dimensiuni diferite sau
endian.
· Jurnalele sunt create cel mai bine într-un sistem de fișiere de memorie pentru viteză, de obicei /tmp.
· Pentru redări X11 sau VNC, mai întâi exersați reluând o sesiune recentă capturată a dvs
proprii. Cea mai mare problemă este adâncimea culorii, ecranul trebuie să se potrivească cu captura. Pentru X11
verificați autentificarea (xhost +), pentru VNC verificați opțiunile de vizualizare (-8 de biți, „Hextile”,
...)
· Analiza SSH poate fi efectuată cu programul „sshkeydata”, așa cum este demonstrat pe
http://www.brendangregg.com/sshanalysis.html . haosreader furnizează fișierele de intrare
(*.keydata) pe care sshkeydata le analizează.
Utilizați Chaosreader online folosind serviciile onworks.net