นี่คือคำสั่ง chaosreader ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
นักอ่านที่วุ่นวาย - ติดตามเซสชันเครือข่ายและส่งออกเป็นรูปแบบ html
เรื่องย่อ
นักอ่านที่วุ่นวาย
นักอ่านที่วุ่นวาย [-aehikqrvxAHIRTUXY] [-D dir]
[-b ท่า[,...]] [-B ท่า[,...]]
[-j ไอแพดร์[,...]] [-J ไอแพดร์[,...]]
[-l ท่า[,...]] [-L ท่า[,...]] [-m ไบต์[k]]
[-M ไบต์[k]] [-o "เวลา"|"ขนาด"|"ประเภท"|"ip"]
[-p ท่า[,...]] [-P ท่า[,...]]
แฟ้ม [อินไฟล์2 ... ]
นักอ่านที่วุ่นวาย -s [นาที- -S [นาที[,นับ]]
[-z] [-f 'กรอง']
DESCRIPTION
Chaosreader ติดตามเซสชัน TCP/UDP/อื่นๆ และดึงข้อมูลแอปพลิเคชันจาก snoop หรือ
บันทึก tcpdump นี่คือโปรแกรมประเภท "any-snarf" เนื่องจากจะดึงข้อมูลเซสชัน telnet, FTP
ไฟล์, การถ่ายโอน HTTP (HTML, GIF, JPEG ฯลฯ) และอีเมล SMTP จากข้อมูลที่บันทึกไว้ภายใน
บันทึกการจราจรของเครือข่าย ไฟล์ดัชนี html ถูกสร้างขึ้นเพื่อเชื่อมโยงไปยังเซสชันทั้งหมด
รายละเอียด รวมถึงโปรแกรมเล่นซ้ำแบบเรียลไทม์สำหรับเซสชัน telnet, rlogin, IRC, X11 และ VNC
รายงาน Chaosreader เช่น รายงานรูปภาพและรายงานเนื้อหา HTTP GET/POST
Chaosreader ยังสามารถทำงานในโหมดสแตนด์อโลน โดยจะเรียกใช้ tcpdump เพื่อสร้างบันทึก
ไฟล์แล้วประมวลผล
OPTIONS
-NS, --แอปพลิเคชัน
สร้างไฟล์เซสชันแอปพลิเคชัน (ค่าเริ่มต้น)
-e, --ทุกอย่าง
สร้างไฟล์ HTML 2-way & hex สำหรับทุกอย่าง
-h พิมพ์ความช่วยเหลือสั้น ๆ
--ช่วยด้วย พิมพ์ verbose help (นี้) และ version
--help2
พิมพ์ความช่วยเหลือจำนวนมาก
-ผม, --ข้อมูล
สร้างไฟล์ข้อมูล
-NS, --เงียบ
เงียบไม่มีเอาต์พุตไปยังหน้าจอ
-NS, --ดิบ
สร้างไฟล์ดิบ
-ใน, --รายละเอียด
Verbose - สร้างไฟล์ทั้งหมด .. (ยกเว้น -e)
-NS, --ดัชนี
สร้างไฟล์ดัชนี (ค่าเริ่มต้น)
-NS, --ไม่มีแอปพลิเคชัน
ไม่รวมไฟล์เซสชันแอปพลิเคชัน
-ชม, --ฐานสิบหก
รวมการถ่ายโอนข้อมูลฐานสิบหก (ช้า)
-ผม, --noinfo
ไม่รวมไฟล์ข้อมูล
-NS, --นอรอ
ไม่รวมไฟล์ดิบ
-NS, --notcp
ยกเว้นการรับส่งข้อมูล TCP
-ยู, --noudp
ยกเว้นการรับส่งข้อมูล UDP
-ใช่ --noicmp
ยกเว้นการรับส่งข้อมูล ICMP
-NS, --noindex
ไม่รวมไฟล์ดัชนี
-เค --คีย์ข้อมูล
สร้างไฟล์พิเศษสำหรับการวิเคราะห์การกดแป้นพิมพ์
-D dir, --dir dir
ส่งออกไฟล์ทั้งหมดไปยังไดเร็กทอรีนี้
-b 25,79, --playtcp 25,79
เล่นซ้ำพอร์ต TCP เหล่านี้ด้วย (เล่น)
-B 36,42, --playudp 36,42
เล่นซ้ำพอร์ต UDP เหล่านี้ด้วย (เล่น)
-l 7,79, --htmltcp 7,79
สร้าง HTML สำหรับพอร์ต TCP เหล่านี้ด้วย
-L 7,123, --htmludp 7,123
สร้าง HTML สำหรับพอร์ต UDP เหล่านี้ด้วย
-m 1k, --นาที 1k
ขนาดการเชื่อมต่อขั้นต่ำที่จะบันทึก ("k" สำหรับ Kb)
-M 1024k, --สูงสุด 1k
ขนาดสูงสุดของการเชื่อมต่อที่จะบันทึก ("k" สำหรับ Kb)
-o ขนาด, --เรียงลำดับ ขนาด
sort Order: time/size/type/ip (เวลาเริ่มต้น)
-p 21,23, --ท่า 21,23
ตรวจสอบเฉพาะพอร์ตเหล่านี้ (TCP & UDP)
-P 80,81, --noport 80,81
ไม่รวมพอร์ตเหล่านี้ (TCP & UDP)
-s 5, --รันออนซ์ 5
แบบสแตนด์อโลน เรียกใช้ tcpdump/snoop สำหรับ 5 นาที.
-S 5,10, --วิ่งหลาย 5,10
แบบสแตนด์อโลนมากมาย 10 ตัวอย่าง 5 นาที แต่ละ
-S 5, --วิ่งหลาย 5
แบบสแตนด์อโลนไม่มีที่สิ้นสุด ตัวอย่าง 5 นาทีตลอดไป
-z, --รันเรโด
แบบสแตนด์อโลน ทำซ้ำ อ่านบันทึกการทำงานล่าสุดซ้ำ
-j 10.1.2.1, --ipadr 10.1.2.1
ตรวจสอบเฉพาะ IP เหล่านี้
-J 10.1.2.1, --noipadr 10.1.2.1
ยกเว้น IP เหล่านี้
-f 'ท่า 7 ', --กรอง 'ท่า 7'
เมื่อใช้แบบสแตนด์อโลน ให้ใช้ตัวกรองการถ่ายโอนข้อมูลนี้
เอาท์พุท ไฟล์
index.html
ดัชนี Html (รายละเอียดทั้งหมด)
ดัชนี.ข้อความ
ดัชนีข้อความ
ดัชนี.ไฟล์
ดัชนีไฟล์สำหรับโหมดทำซ้ำแบบสแตนด์อโลน
รูปภาพ.html
รายงาน HTML ของรูปภาพ
getpost.html
รายงาน HTML ของคำขอ HTTP GET/POST
session_0001.info
ไฟล์ข้อมูลที่อธิบายเซสชัน TCP #1
session_0001.telnet.html
การจับภาพ 2 ทางสี HTML (เรียงลำดับเวลา)
session_0001.telnet.raw
ข้อมูลดิบจับ 2 ทาง (เรียงลำดับเวลา)
session_0001.telnet.raw1
ดิบ 1 ทางจับ (ประกอบ) เซิร์ฟเวอร์ -> ไคลเอนต์
session_0001.telnet.raw2
การจับ 1 ทางดิบ (ประกอบ) ไคลเอนต์ -> เซิร์ฟเวอร์
session_0002.web.html
HTML สี 2 ทาง
session_0002.part_01.html
ส่วน HTTP ของข้างต้น ไฟล์ HTML
session_0003.web.html
HTML สี 2 ทาง
session_0003.part_01.jpeg
ส่วน HTTP ของข้างต้น ไฟล์ JPEG
session_0004.web.html
HTML สี 2 ทาง
session_0004.part_01.gif
ส่วน HTTP ของข้างต้น ไฟล์ GIF
session_0005.part_01.ftp-data.gz
การถ่ายโอน FTP ไฟล์ gz
อนุสัญญา
การประชุม_*
เซสชัน TCP
ลำธาร_*
UDP สตรีม
ไอซีเอ็มพี_* แพ็กเก็ต ICMP
index.html
ดัชนี HTML
ดัชนี.ข้อความ
ดัชนีข้อความ
ดัชนี.ไฟล์
ดัชนีไฟล์สำหรับโหมดทำซ้ำแบบสแตนด์อโลนเท่านั้น
รูปภาพ.html
รายงาน HTML ของรูปภาพ
getpost.html
รายงาน HTML ของคำขอ HTTP GET/POST
*.ข้อมูล ไฟล์ข้อมูลที่อธิบาย Session/Stream
*.ดิบ ข้อมูลดิบจับ 2 ทาง (เรียงลำดับเวลา)
*.raw1 ดิบ 1 ทางจับ (ประกอบ) เซิร์ฟเวอร์ -> ไคลเอนต์
*.raw2 การจับ 1 ทางดิบ (ประกอบ) ไคลเอนต์ -> เซิร์ฟเวอร์
*.เล่นซ้ำ
โปรแกรมเล่นซ้ำเซสชัน (perl)
*.บางส่วน.*
การดักจับบางส่วน (tcpdump/snoop รับรู้ถึงการดรอป)
*.hex.html
ดัมพ์ Hex แบบ 2 ทาง แสดงผลเป็น HTML แบบสี
*.hex.ข้อความ
การถ่ายโอนข้อมูล Hex แบบ 2 ทางในข้อความธรรมดา
*.X11.เล่นซ้ำ
สคริปต์เล่นซ้ำ X11 (พูดถึง X11)
*.textX11.เล่นซ้ำ
สคริปต์เล่นซ้ำข้อความที่สื่อสาร X11 (ข้อความเท่านั้น)
*.textX11.html
รายงานข้อความแบบ 2 ทาง แสดงผลเป็น HTML สีแดง/สีน้ำเงิน
*.คีย์ข้อมูล
ไฟล์ข้อมูลการหน่วงเวลาการกดแป้นพิมพ์ ใช้สำหรับการวิเคราะห์ SSH
โหมด
ปกติ เช่น "นักอ่านที่วุ่นวาย แฟ้ม" นี่คือจุดเริ่มต้นของไฟล์ tcpdump/snoop
และ นักอ่านที่วุ่นวาย อ่านและประมวลผล
แบบสแตนด์อโลน ครั้งเดียว
เช่น "นักอ่านที่วุ่นวาย -s 10" นี่แหละ นักอ่านที่วุ่นวาย รัน tcpdump/snoop และสร้าง
ล็อกไฟล์ ในกรณีนี้เป็นเวลา 10 i นาที แล้วประมวลผลผลลัพธ์ บาง
ระบบปฏิบัติการอาจไม่มี tcpdump หรือ snoop ดังนั้นจึงใช้ไม่ได้ (แต่คุณอาจ
สามารถรับ Ethereal รัน บันทึกลงในไฟล์ แล้วใช้โหมดปกติได้) มี
master index.html และรายงาน index.html ใน sub dirซึ่งเป็นรูปแบบ
out_YYYYMMDD-hhmm เช่น "out_20031003-2221"
สแตนด์อโลน, หลาย
เช่น "นักอ่านที่วุ่นวาย -S 5,12" นี่แหละ นักอ่านที่วุ่นวาย รัน tcpdump/snoop และ
สร้างไฟล์บันทึกจำนวนมาก ในกรณีนี้จะสุ่มตัวอย่าง 12 ครั้ง ครั้งละ 5 นาที
ขณะที่กำลังทำงานอยู่ สามารถดู master index.html เพื่อดูความคืบหน้าซึ่ง
ลิงก์ไปยังรายงาน minor index.html ในแต่ละไดเร็กทอรีย่อย
สแตนด์อโลน, ทำซ้ำ
เช่น "นักอ่านที่วุ่นวาย -เคย -z", (NS -z) นี่คือจุดที่การจับภาพแบบสแตนด์อโลนคือ
ดำเนินการก่อนหน้านี้ - และตอนนี้คุณต้องการประมวลผลบันทึกใหม่ - อาจด้วย
ตัวเลือกต่างๆ (ในกรณีนี้ "-เคย") มันอ่าน index.file เพื่อตรวจสอบซึ่ง
จับบันทึกที่จะอ่าน
สแตนด์อโลน, ไม่มีที่สิ้นสุด
เช่น "นักอ่านที่วุ่นวาย -S 5" เหมือนกับหลาย ๆ คน - แต่วิ่งตลอดไป (ถ้าคุณเคยมี
ความต้องการ?). ดูพื้นที่ดิสก์ของคุณ!
หมายเหตุ: นี่เป็นงานที่กำลังดำเนินการอยู่ โค้ดบางส่วนไม่ได้ขัดเกลาเล็กน้อย
คำแนะนำ
· วิ่ง นักอ่านที่วุ่นวาย ในไดเร็กทอรีว่าง
·สร้างการถ่ายโอนข้อมูลแพ็คเก็ตขนาดเล็ก Chaosreader ใช้ขนาดดัมพ์ในหน่วยความจำประมาณ 5 เท่า 100Mb
ไฟล์อาจต้องใช้ RAM 500Mb เพื่อประมวลผล
· tcpdump ของคุณอาจอนุญาต "-S0" (ทั้งแพ็กเก็ต) แทน "-S9000".
· ระวังการใช้พื้นที่ดิสก์มากเกินไป โดยเฉพาะโหมดสแตนด์อโลน
· หากคุณจับการเชื่อมต่อขนาดเล็กมากเกินไปโดยให้ index.html ขนาดใหญ่ ลองใช้ -m
ตัวเลือกที่จะละเว้นการเชื่อมต่อขนาดเล็ก เช่น "-m 1k".
· บันทึกการสอดแนมอาจทำงานได้ดีกว่าจริง บันทึกการสอดแนมอิงตาม RFC1761 แต่มี
tcpdump/libpcap หลากหลายรูปแบบ และโปรแกรมนี้ไม่สามารถอ่านได้ทั้งหมด ถ้าคุณมี
ไม่มีตัวตน คุณสามารถสร้างบันทึกการสอดแนมระหว่างตัวเลือก "บันทึกเป็น" บน Solaris ใช้ "snoop
-o ล็อกไฟล์"
· บันทึก tcpdump อาจไม่สามารถเคลื่อนย้ายระหว่าง OS ที่ใช้การประทับเวลาขนาดต่างกันหรือ
เอนเดียน
· บันทึกจะดีที่สุดในระบบไฟล์หน่วยความจำเพื่อความเร็ว ปกติคือ /tmp
· สำหรับการเล่น X11 หรือ VNC ให้ฝึกฝนก่อนโดยการเล่นซ้ำเซสชันที่บันทึกล่าสุดของคุณ
เป็นเจ้าของ. ปัญหาที่ใหญ่ที่สุดคือความลึกของสี หน้าจอของคุณต้องตรงกับการจับภาพ สำหรับ X11
ตรวจสอบการรับรองความถูกต้อง (xhost +) สำหรับ VNC ตรวจสอบตัวเลือกผู้ดู (-8บิต, "เฮ็กซ์ไทล์",
... )
· การวิเคราะห์ SSH สามารถทำได้ด้วยโปรแกรม "sshkeydata" ตามที่แสดงบน
http://www.brendangregg.com/sshanalysis.html . นักอ่านที่วุ่นวาย จัดเตรียมไฟล์อินพุต
(*.keydata) ที่ sshkeydata วิเคราะห์
ใช้ chaosreader ออนไลน์โดยใช้บริการ onworks.net