Это программа для чтения команд, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
читатель хаоса - отслеживать сетевые сессии и экспортировать их в формат html
СИНТАКСИС
читатель хаоса
читатель хаоса [-aehikqrvxAHIRTUXY] [-D директория]
[-b порт [, ...]] [-B порт [, ...]]
[-j IPaddr [, ...]] [-J IPaddr [, ...]]
[-l порт [, ...]] [-L порт [, ...]] [-m байты [k]]
[-M байты [k]] [-o "время" | "размер" | "тип" | "ip"]
[-p порт [, ...]] [-P порт [, ...]]
вводить [файл2 ...]
читатель хаоса -s [мин] | -S [мин[,считать]]
[-z] [-f 'фильтр']
ОПИСАНИЕ
Chaosreader отслеживает TCP / UDP / другие сеансы и извлекает данные приложения из snoop или
логи tcpdump. Это тип программы "any-snarf", так как она получает сеансы telnet, FTP
файлы, HTTP-передачи (HTML, GIF, JPEG и т. д.) и электронные письма SMTP из захваченных данных внутри
журналы сетевого трафика. Для ссылок на все сеансы создается файл индекса html.
подробности, включая программы воспроизведения в реальном времени для сеансов telnet, rlogin, IRC, X11 и VNC.
Отчеты Chaosreader, такие как отчеты об изображениях и отчеты о содержимом HTTP GET / POST.
Chaosreader также может работать в автономном режиме, где он вызывает tcpdump для создания журнала.
файлы, а затем обрабатывает их.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-a --заявление
Создание файлов сеанса приложения (по умолчанию)
-е, --все
Создавайте двусторонние и шестнадцатеричные файлы HTML для всего
-h Распечатать краткую справку
--Помогите Распечатать подробную справку (это) и версию
--help2
Распечатать массивную справку
-я, --Информация
Создать информационный файл
-д, --тихий
Тихо, без вывода на экран
-р, --сырой
Создавать необработанные файлы
-в, --подробный
Подробно - создавать ВСЕ файлы .. (кроме -e)
-Икс, --показатель
Создать индексные файлы (по умолчанию)
-А, - без приложения
Исключить файлы сеанса приложения
-ЧАС, --шестнадцатеричный
Включить шестнадцатеричные дампы (медленно)
-Я, --noinfo
Исключить информационные файлы
-Р, --норау
Исключить необработанные файлы
-Т, --notcp
Исключить TCP-трафик
-У, --ноудп
Исключить трафик UDP
-Ю, --noicmp
Исключить трафик ICMP
-ИКС, --noindex
Исключить индексные файлы
-к, --ключевые данные
Создавайте дополнительные файлы для анализа нажатия клавиш
-D директория, --директория директория
Вывести все файлы в этот каталог
-b 25,79, --playtcp 25,79
воспроизвести и эти TCP-порты (воспроизведение)
-B 36,42, --playudp 36,42
воспроизвести и эти UDP-порты (воспроизведение)
-l 7,79, --htmltcp 7,79
Создайте HTML для этих TCP-портов.
-L 7,123, --htmludp 7,123
Создайте HTML для этих портов UDP.
-m 1k, --мин 1k
Мин. Размер соединения для сохранения («k» для Кбайт)
-M 1024k, --Максимум 1k
Максимальный размер соединения для сохранения («k» для Кбайт)
-o размер, --Сортировать размер
Порядок сортировки: время / размер / тип / IP (время по умолчанию)
-p 21,23, --порт 21,23
Проверяйте только эти порты (TCP и UDP)
-P 80,81, --нопорт 80,81
Исключить эти порты (TCP и UDP)
-s 5, --runonce 5
Автономный. Запустите tcpdump / snoop на 5 мин.
-S 5,10, - много 5,10
Автономные, многие. 10 образцов из 5 мин каждый.
-S 5, - много 5
Автономный, бесконечный. 5-минутные образцы навсегда.
-з, --рунредо
Автономно, повторить. Перечитывает журналы последнего запуска.
-j 10.1.2.1, --ipaddr 10.1.2.1
Проверяйте только эти IP
-J 10.1.2.1, --noipaddr 10.1.2.1
Исключить эти IP-адреса
-f 'порт 7 ', --фильтр 'порт 7'
В автономном режиме используйте этот фильтр дампа.
ВЫВОД FILES
index.html
Индекс HTML (полная информация)
индекс.текст
Текстовый указатель
индекс.файл
Индекс файла для автономного режима повтора
изображение.html
HTML отчет изображений
getpost.html
HTML-отчет о HTTP-запросах GET / POST
session_0001.info
Информационный файл с описанием TCP-сеанса №1
session_0001.telnet.html
Двухсторонний захват в цвете HTML (с сортировкой по времени)
session_0001.telnet.raw
Двусторонний захват сырых данных (с сортировкой по времени)
сеанс_0001.telnet.raw1
Необработанный односторонний захват (собранный) сервер-> клиент
сеанс_0001.telnet.raw2
Необработанный односторонний захват (собранный) клиент-> сервер
session_0002.web.html
HTML цветной двусторонний
сеанс_0002.part_01.html
HTTP-часть вышеперечисленного, HTML-файл
session_0003.web.html
HTML цветной двусторонний
сеанс_0003.part_01.jpeg
HTTP-часть вышеперечисленного, файл JPEG
session_0004.web.html
HTML цветной двусторонний
сеанс_0004.part_01.gif
HTTP-часть вышеперечисленного, файл GIF
session_0005.part_01.ftp-data.gz
Передача по FTP, файл gz.
КОНВЕНЦИИ
сессия_ *
TCP-сессии
транслировать_*
UDP потоки
icmp_ * Пакеты ICMP
index.html
HTML-индекс
индекс.текст
Текстовый указатель
индекс.файл
Индекс файла только для автономного режима повтора
изображение.html
HTML отчет изображений
getpost.html
HTML-отчет о HTTP-запросах GET / POST
*.Информация Информационный файл с описанием сеанса / потока
*.сырой Двусторонний захват сырых данных (с сортировкой по времени)
* .raw1 Необработанный односторонний захват (собранный) сервер-> клиент
* .raw2 Необработанный односторонний захват (собранный) клиент-> сервер
* .replay
Программа воспроизведения сеанса (perl)
* .partial. *
Частичный захват (tcpdump / snoop знали о падениях)
* .hex.html
Двусторонний шестнадцатеричный дамп, отображаемый в цветном HTML
* .hex.text
Двусторонний шестнадцатеричный дамп в виде простого текста
* .X11.replay
Скрипт воспроизведения X11 (говорит X11)
* .textX11.replay
Сценарий воспроизведения передаваемого текста X11 (только текст)
* .textX11.html
Двухсторонний текстовый отчет, отображаемый в красном / синем HTML-коде
*.ключевые данные
Файл данных о задержке нажатия клавиш. Используется для анализа SSH.
РЕЖИМЫ
нормальная например "читатель хаоса вводить", здесь ранее был создан файл tcpdump / snoop.
и читатель хаоса читает и обрабатывает его.
Автономные консолидировать
например "читатель хаоса -s 10 "вот где читатель хаоса запускает tcpdump / snoop и генерирует
файл журнала, в данном случае в течение 10 минут, а затем обрабатывает результат. Некоторые
В ОС могут не быть доступны tcpdump или snoop, поэтому это не сработает (вместо этого вы можете
получить Ethereal, запустить его, сохранить в файл и использовать обычный режим). Существует
master index.html и отчет index.html в подпрограмме директория, который имеет формат
out_YYYYMMDD-ччмм, например "out_20031003-2221".
Автономный, многих
например "читатель хаоса -S 5,12 ", вот где читатель хаоса запускает tcpdump / snoop и
генерирует много файлов журнала, в этом случае он делает выборку 12 раз по 5 минут каждый.
Пока он работает, можно просматривать главный index.html, чтобы следить за прогрессом, который
ссылки на второстепенные отчеты index.html в каждом подкаталоге.
Автономный, готовый
например "читатель хаоса -ве -z", ( -z), именно здесь был
ранее выполнялись - и теперь вы хотели бы повторно обработать журналы - возможно, с
разные варианты (в данном случае "-ве"). Он читает index.file, чтобы определить, какой
записывать журналы для чтения.
Автономный, бесконечный
например "читатель хаоса -S 5 дюймов, как и многие автономные, но работает вечно (если у вас когда-либо был
необходимость?). Следите за своим дисковым пространством!
Примечание: это работа, часть кода немного не доработана.
КОНСУЛЬТАЦИИ
· Запустить читатель хаоса в пустом каталоге.
· Создавать небольшие дампы пакетов. Chaosreader использует память, примерно в 5 раз превышающую размер дампа. 100 МБ
Для обработки файла может потребоваться 500 МБ ОЗУ.
· Ваш tcpdump может разрешить "-s0"(весь пакет) вместо"-s9000".
· Остерегайтесь использовать слишком много места на диске, особенно в автономном режиме.
· Если вы захватываете слишком много мелких соединений, дающих огромный index.html, попробуйте использовать -m
возможность игнорировать мелкие соединения. например "-m 1к ".
· Журналы отслеживания могут работать лучше. Журналы отслеживания основаны на RFC1761, однако есть
много вариантов tcpdump / libpcap, и эта программа не может прочитать их все. Если у вас есть
Ethereal, вы можете создавать журналы отслеживания при выборе опции «Сохранить как». В Solaris используйте snoop
-o лог-файл".
· Журналы tcpdump могут не переноситься между ОС, которые используют временные метки разного размера или
порядок байтов
· Журналы лучше всего создавать в файловой системе памяти для скорости, обычно / tmp.
· Для воспроизведения X11 или VNC сначала потренируйтесь, воспроизведя недавно записанный сеанс вашего
собственный. Самая большая проблема - это глубина цвета, ваш экран должен соответствовать снимку. Для X11
проверьте аутентификацию (xhost +), для VNC проверьте параметры просмотра (-8bit, "Хекстиль",
...)
· Анализ SSH можно выполнить с помощью программы "sshkeydata", как показано на
http://www.brendangregg.com/sshanalysis.html . читатель хаоса предоставляет входные файлы
(* .keydata), который анализирует sshkeydata.
Используйте chaosreader онлайн с помощью сервисов onworks.net
