chaosreader - Online sa Cloud

Magpatakbo ng chaosreader sa OnWorks na libreng hosting provider sa Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator

Ito ang command chaosreader na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator

Tumakbo sa Ubuntu Tumakbo sa Fedora Tumakbo sa Windows Sim Tumakbo sa MACOS Sim

PROGRAMA:

NAME

chaosreader - subaybayan ang mga sesyon ng network at i-export ito sa html na format

SINOPSIS

chaosreader

chaosreader [-aehikqrvxAHIRTUXY] [-D dir]
[-b daungan [,...]] [-B port[,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l daungan [,...]] [-L daungan [,...]] [-m byte [k]]
[-M byte [k]] [-o "oras"|"laki"|"uri"|"ip"]
[-p daungan [,...]] [-P port[,...]]
infile [infile2 ...]

chaosreader -s [min] | -S [min[,bilang]]
[-z] [-f 'filter']

DESCRIPTION

Sinusubaybayan ng Chaosreader ang mga session ng TCP/UDP/iba at kinukuha ang data ng application mula sa snoop o
tcpdump log. Ito ay isang uri ng "any-snarf" program, dahil kukuha ito ng mga telnet session, FTP
file, HTTP transfers (HTML, GIF, JPEG atbp) at SMTP na mga email mula sa nakuhang data sa loob
mga log ng trapiko sa network. Ang isang html index file ay nilikha sa mga link sa lahat ng session
mga detalye, kabilang ang mga realtime na replay program para sa mga session ng telnet, rlogin, IRC, X11 at VNC.
Mga ulat ng Chaosreader gaya ng mga ulat ng larawan at mga ulat sa nilalamang HTTP GET/POST.

Maaari ding tumakbo ang Chaosreader sa standalone mode, kung saan hinihimok nito ang tcpdump upang gawin ang log
mga file at pagkatapos ay iproseso ang mga ito.

Opsyon

-a, --aplikasyon
Lumikha ng mga file ng session ng application (default)

-e, --lahat
Gumawa ng HTML 2-way at hex na mga file para sa lahat

-h Mag-print ng maikling tulong

- Tumulong I-print ang verbose help (ito) at bersyon

--tulong2
Mag-print ng napakalaking tulong

-ako, --impormasyon
Lumikha ng file ng impormasyon

-q, --tahimik
Tahimik, walang output sa screen

-r, --hilaw
Gumawa ng mga hilaw na file

-sa, --verbose
Verbose - Lumikha ng LAHAT ng mga file .. (maliban -e)

-x, --index
Lumikha ng mga index na file (default)

-A, --noaapplication
Ibukod ang mga file ng session ng application

-H, --hex
Isama ang hex dumps (mabagal)

-ako, --walang impormasyon
Ibukod ang mga file ng impormasyon

-R, --noraw
Ibukod ang mga raw na file

-T, --notcp
Ibukod ang trapiko ng TCP

-U, --noudp
Ibukod ang trapiko ng UDP

-Y, --noicmp
Ibukod ang trapiko ng ICMP

-X, --noindex
Ibukod ang mga index na file

-k, --keydata
Gumawa ng mga karagdagang file para sa pagsusuri ng keystroke

-D dir, --dir dir
I-output ang lahat ng mga file sa direktoryong ito

-b 25,79, --playtcp 25,79
i-replay din ang mga TCP port na ito (playback)

-B 36,42, --playudp 36,42
i-replay din ang mga UDP port na ito (playback)

-l 7,79, --htmltcp 7,79
Gumawa din ng HTML para sa mga TCP port na ito

-L 7,123, --htmludp 7,123
Gumawa din ng HTML para sa mga UDP port na ito

-m 1k, --min 1k
Min na laki ng koneksyon na ise-save ("k" para sa Kb)

-M 1024k, --max 1k
Max na laki ng koneksyon na ise-save ("k" para sa Kb)

-o laki, --uri-uriin laki
sort Order: oras/laki/uri/ip (Default na oras)

-p 21,23, --port 21,23
Suriin lamang ang mga port na ito (TCP at UDP)

-P 80,81, --noport 80,81
Ibukod ang mga port na ito (TCP at UDP)

-s 5, --runonce 5
Nag-iisa. Patakbuhin ang tcpdump/snoop para sa 5 min.

-S 5,10, --runmany 5,10
Standalone, marami. 10 sample ng 5 min bawat isa.

-S 5, --runmany 5
Nag-iisa, walang katapusan. 5 min na mga sample magpakailanman.

-z, --runredo
Mag-isa, gawing muli. Binabasa muli ang mga log ng huling pagtakbo.

-j 10.1.2.1, --ipaddr 10.1.2.1
Suriin lamang ang mga IP na ito

-J 10.1.2.1, --noipaddr 10.1.2.1
Ibukod ang mga IP na ito

-f 'port 7', --filter 'port 7'
Gamit ang standalone, gamitin ang dump filter na ito.

oUTPUT MGA FILE

index.html
Html index (buong mga detalye)

index.teksto
Index ng teksto

index.file
File index para sa standalone na redo mode

image.html
HTML na ulat ng mga larawan

getpost.html
HTML na ulat ng HTTP GET/POST na mga kahilingan

session_0001.info
File ng impormasyon na naglalarawan ng TCP session #1

session_0001.telnet.html
2-way na pagkuha ng HTML na kulay (pinag-uri-uriin ang oras)

session_0001.telnet.raw
Raw data 2-way na pagkuha (oras na pinagsunod-sunod)

session_0001.telnet.raw1
Raw 1-way capture (assembeled) server->client

session_0001.telnet.raw2
Raw 1-way capture (assembeled) client->server

session_0002.web.html
2-way na may kulay ng HTML

session_0002.part_01.html
HTTP na bahagi ng nasa itaas, isang HTML file

session_0003.web.html
2-way na may kulay ng HTML

session_0003.part_01.jpeg
HTTP na bahagi ng nasa itaas, isang JPEG file

session_0004.web.html
2-way na may kulay ng HTML

session_0004.part_01.gif
HTTP na bahagi ng nasa itaas, isang GIF file

session_0005.part_01.ftp-data.gz
Isang FTP transfer, isang gz file.

MGA KOmbensiyon

session_*
Mga Sesyon ng TCP

stream_*
Mga UDP Stream

icmp_* ICMP packet

index.html
HTML Index

index.teksto
Index ng Teksto

index.file
File Index para sa standalone redo mode lang

image.html
HTML na ulat ng mga larawan

getpost.html
HTML na ulat ng HTTP GET/POST na mga kahilingan

*.info File ng impormasyon na naglalarawan sa Session/Stream

*.raw Raw data 2-way na pagkuha (oras na pinagsunod-sunod)

*.raw1 Raw 1-way capture (assembeled) server->client

*.raw2 Raw 1-way capture (assembeled) client->server

*.replay
Session replay program (perl)

*.partial.*
Bahagyang pagkuha (alam ng tcpdump/snoop ng mga patak)

*.hex.html
2-way na Hex dump, na na-render sa may kulay na HTML

*.hex.text
2-way na Hex dump sa plain text

*.X11.replay
X11 replay script (usap X11)

*.textX11.replay
Nakipag-ugnayan sa X11 text replay script (text lang)

*.textX11.html
2-way na text report, na nai-render sa pula/asul na HTML

*.keydata
Keystroke delay data file. Ginagamit para sa pagsusuri ng SSH.

mode

normal hal"chaosreader infile", dito ginawa ang isang tcpdump/snoop file dati
at chaosreader binabasa at pinoproseso ito.

standalone minsan
hal"chaosreader -s 10" dito chaosreader nagpapatakbo ng tcpdump/snoop at bumubuo
ang log file, sa kasong ito sa loob ng 10 minuto, at pagkatapos ay iproseso ang resulta. Ang ilan
Maaaring walang tcpdump o snoop na magagamit ang mga OS kaya hindi ito gagana (sa halip ay maaari mong
makuha ang Ethereal, patakbuhin ito, i-save sa isang file, pagkatapos ay gamitin ang normal na mode). Meron isang
master index.html at ang ulat na index.html sa isang sub dir, na nasa format
out_YYYYMMDD-hhmm, hal. "out_20031003-2221".

Mag-isa, marami
hal"chaosreader -S 5,12", ito ay kung saan chaosreader nagpapatakbo ng tcpdump/snoop at
bumubuo ng maraming mga log file, sa kasong ito ay nagsa-sample ito ng 12 beses sa loob ng 5 minuto bawat isa.
Habang ito ay tumatakbo, ang master index.html ay maaaring matingnan upang panoorin ang pag-unlad, na
mga link sa mga menor de edad na ulat ng index.html sa bawat sub directory.

Mag-isa, gawing muli
hal"chaosreader -ve -z", (ang -z), dito nagkaroon ng standalone capture
dati nang gumanap - at ngayon gusto mong muling iproseso ang mga log - marahil gamit ang
iba't ibang mga opsyon (sa kasong ito, "-ve"). Nagbabasa ito ng index.file upang matukoy kung alin
pagkuha ng mga tala upang basahin.

Mag-isa, walang hanggan
hal"chaosreader -S 5", tulad ng standalone na marami - ngunit tumatakbo magpakailanman (kung sakaling nagkaroon ka ng
kailangan?). Panoorin ang iyong espasyo sa disk!

Tandaan: ito ay isang gawain sa progreso, ang ilan sa mga code ay medyo hindi pulido.

MGA PAYO

· Tumakbo chaosreader sa isang walang laman na direktoryo.

· Gumawa ng maliliit na packet dumps. Gumagamit ang Chaosreader ng humigit-kumulang 5x ng laki ng dump sa memorya. Isang 100Mb
Maaaring kailanganin ng file ang 500Mb ng RAM upang maproseso.

· Maaaring payagan ng iyong tcpdump ang "-s0" (buong pakete) sa halip na "-s9000".

· Mag-ingat sa paggamit ng masyadong maraming espasyo sa disk, lalo na ang standalone mode.

· Kung nakakuha ka ng napakaraming maliliit na koneksyon na nagbibigay ng malaking index.html, subukang gamitin ang -m
opsyon na huwag pansinin ang maliliit na koneksyon. hal"-m 1k".

· Ang mga snoop log ay maaaring aktwal na gumana nang mas mahusay. Ang mga snoop log ay batay sa RFC1761, gayunpaman mayroon
maraming variant ng tcpdump/libpcap at hindi mababasa ng program na ito lahat. Kung mayroon kang
Ethereal maaari kang lumikha ng mga snoop log sa panahon ng opsyong "i-save bilang". Sa Solaris gamitin ang "snoop
-o logfile".

· Ang mga tcpdump log ay maaaring hindi portable sa pagitan ng mga OS na gumagamit ng iba't ibang laki ng mga timestamp o
endian.

· Ang mga log ay pinakamahusay na ginawa sa isang memory filesystem para sa bilis, karaniwan ay /tmp.

· Para sa mga pag-playback ng X11 o VNC, magsanay muna sa pamamagitan ng pag-replay ng isang kamakailang nakuhang session ng iyong
sariling. Ang pinakamalaking problema ay ang lalim ng kulay, dapat tumugma ang iyong screen sa pagkuha. Para sa X11
suriin ang pagpapatunay (xhost +), para sa VNC suriin ang mga pagpipilian sa mga manonood (-8bit, "Hextile",
...)

· Ang pagsusuri sa SSH ay maaaring isagawa gamit ang "sshkeydata" na programa tulad ng ipinakita sa
http://www.brendangregg.com/sshanalysis.html . chaosreader nagbibigay ng input file
(*.keydata) na sinusuri ng sshkeydata.

Gumamit ng chaosreader online gamit ang mga serbisyo ng onworks.net