Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen komut kaos okuyucusudur.
Program:
ADI
kaos okuyucu - ağ oturumlarını izleyin ve html formatına aktarın
SİNOPSİS
kaos okuyucu
kaos okuyucu [-aehikqrvxAHIRTUXY] [-D dir]
[-b Liman[,...]] [-B Liman[,...]]
[-j IPadr[,...]] [-J IPadr[,...]]
[-l Liman[,...]] [-L Liman[,...]] [-m bayt[k]]
[-M bayt[k]] [-o "zaman"|"boyut"|"tür"|"ip"]
[-p Liman[,...]] [-P Liman[,...]]
dosyada [dosya2 ...]
kaos okuyucu -s [dakika] | -S [dakika[,saymak]]
[-z] [-f 'filtre']
TANIM
Chaosreader, TCP/UDP/diğer oturumları izler ve snoop veya snoop'tan uygulama verilerini getirir.
tcpdump günlükleri. Bu bir tür "any-snarf" programıdır, çünkü telnet oturumlarını, FTP'yi getirir.
dosyalar, HTTP aktarımları (HTML, GIF, JPEG vb.) ve içerideki yakalanan verilerden SMTP e-postaları
ağ trafiği günlükleri. Tüm oturumlara bağlantı sağlayan bir html dizin dosyası oluşturulur
telnet, rlogin, IRC, X11 ve VNC oturumları için gerçek zamanlı tekrar programları dahil olmak üzere ayrıntılar.
Görüntü raporları ve HTTP GET/POST içerik raporları gibi Chaosreader raporları.
Chaosreader, günlüğü oluşturmak için tcpdump'ı çağırdığı bağımsız modda da çalışabilir.
dosyalar ve daha sonra bunları işler.
SEÇENEKLER
-A, --başvuru
Uygulama oturum dosyaları oluşturun (varsayılan)
, -e --her şey
Her şey için HTML 2 yollu ve hex dosyaları oluşturun
-h Kısa bir yardım yazdırın
--yardım et Ayrıntılı yardım (bu) ve sürümü yazdır
--yardım2
Toplu yardım yazdırın
-ben, --bilgi
Bilgi dosyası oluştur
-Q, --sessizlik
Sessiz, ekrana çıkış yok
-R, --çiğ
Ham dosyalar oluşturun
-içinde, --ayrıntılı
Ayrıntılı - TÜM dosyaları oluşturun .. (hariç -e)
-X, --index
Dizin dosyaları oluşturun (varsayılan)
-A, --uygulama yok
Uygulama oturum dosyalarını hariç tut
-H, -- altıgen
Altıgen dökümleri dahil et (yavaş)
-BEN, --bilgi yok
Bilgi dosyalarını hariç tut
-R, --noraw
Ham dosyaları hariç tut
-T, --notcp
TCP trafiğini hariç tut
-U, --noudp
UDP trafiğini hariç tut
-E, --noicmp
ICMP trafiğini hariç tut
-X, --noindex
Dizin dosyalarını hariç tut
-k, --anahtar veri
Tuş vuruşu analizi için ekstra dosyalar oluşturun
-D dir, --dir dir
Tüm dosyaları bu dizine çıkar
-b 25,79, --playtcp 25,79
bu TCP bağlantı noktalarını da yeniden oynat (oynatma)
-B 36,42, --playudp 36,42
bu UDP bağlantı noktalarını da yeniden oynat (oynatma)
-l 7,79, --htmltcp 7,79
Bu TCP bağlantı noktaları için de HTML oluşturun
-L 7,123, --htmludp 7,123
Bu UDP bağlantı noktaları için de HTML oluşturun
-m 1k, --dk 1k
Kaydedilecek minimum bağlantı boyutu (Kb için "k")
-M 1024k, --maks 1k
Kaydedilecek maksimum bağlantı boyutu (Kb için "k")
-o boyut, --çeşit boyut
sıralama Sıralama: zaman/boyut/tür/ip (Varsayılan saat)
-p 21,23, --Liman 21,23
Yalnızca bu bağlantı noktalarını inceleyin (TCP ve UDP)
-P 80,81, --noport 80,81
Bu bağlantı noktalarını hariç tut (TCP ve UDP)
-s 5, --Bir kere çalıştır 5
Bağımsız. 5 için tcpdump/snoop'u çalıştırın dakika.
-S 5,10, --çok sayıda çalıştır 5,10
Bağımsız, çok. 10 örnek 5 dakika Her.
-S 5, --çok sayıda çalıştır 5
Bağımsız, sonsuz. Sonsuza kadar 5 dakikalık örnekler.
, -z --runredo
Bağımsız, yeniden yap. Son çalıştırmanın günlüklerini yeniden okur.
-j 10.1.2.1, --ipaddr 10.1.2.1
Yalnızca bu IP'leri inceleyin
-J 10.1.2.1, --noipaddr 10.1.2.1
Bu IP'leri hariç tut
-f 'Liman 7 ', --filtre 'Liman 7'
Bağımsız olarak, bu döküm filtresini kullanın.
ÇIKTI DOSYALAR
index.html
Html dizini (tüm ayrıntılar)
dizin.metin
Metin dizini
indeks.dosya
Bağımsız yineleme modu için dosya dizini
resim.html
Görüntülerin HTML raporu
getpost.html
HTTP GET/POST isteklerinin HTML raporu
session_0001.info
1 numaralı TCP oturumunu açıklayan bilgi dosyası
session_0001.telnet.html
HTML renkli 2 yönlü yakalama (zamana göre sıralanmış)
session_0001.telnet.raw
Ham veri 2 yönlü yakalama (zamana göre sıralanmış)
session_0001.telnet.raw1
Ham 1 yönlü yakalama (birleştirilmiş) sunucu-> istemci
session_0001.telnet.raw2
Ham 1 yönlü yakalama (birleştirilmiş) istemci->sunucu
session_0002.web.html
HTML renkli 2 yönlü
session_0002.part_01.html
Yukarıdakilerin HTTP kısmı, bir HTML dosyası
session_0003.web.html
HTML renkli 2 yönlü
session_0003.part_01.jpeg
Yukarıdakilerin HTTP kısmı, bir JPEG dosyası
session_0004.web.html
HTML renkli 2 yönlü
session_0004.part_01.gif
Yukarıdakilerin HTTP kısmı, bir GIF dosyası
session_0005.part_01.ftp-data.gz
Bir FTP transferi, bir gz dosyası.
SÖZLEŞMELER
oturum, toplantı, celse_*
TCP Oturumları
aktarım_*
UDP Akışları
icmp_* ICMP paketleri
index.html
HTML Dizini
dizin.metin
Metin Dizini
indeks.dosya
Yalnızca bağımsız yineleme modu için Dosya Dizini
resim.html
Görüntülerin HTML raporu
getpost.html
HTTP GET/POST isteklerinin HTML raporu
*.bilgi Oturumu/Akış'ı açıklayan bilgi dosyası
*.çiğ Ham veri 2 yönlü yakalama (zamana göre sıralanmış)
*.raw1 Ham 1 yönlü yakalama (birleştirilmiş) sunucu-> istemci
*.raw2 Ham 1 yönlü yakalama (birleştirilmiş) istemci->sunucu
*.tekrar oynat
Oturum tekrar programı (perl)
*.kısmi.*
Kısmi yakalama (tcpdump/snoop, damlaların farkındaydı)
*.hex.html
Renkli HTML olarak işlenen 2 yönlü Hex dökümü
*.hex.metin
Düz metinde 2 yönlü Hex dökümü
*.X11.tekrar oynat
X11 tekrar komut dosyası (X11 konuşur)
*.textX11.tekrar oynat
X11 iletilen metin yeniden oynatma komut dosyası (yalnızca metin)
*.textX11.html
Kırmızı/mavi HTML olarak oluşturulmuş 2 yönlü metin raporu
*.anahtar veri
Tuş gecikmesi veri dosyası. SSH analizi için kullanılır.
MODLARI
Normal Örneğin "kaos okuyucu dosyada", burası daha önce bir tcpdump/snoop dosyasının oluşturulduğu yer
ve kaos okuyucu okur ve işler.
Bağımsız bir Zamanlar
Örneğin "kaos okuyucu -s 10" burası kaos okuyucu tcpdump/snoop'u çalıştırır ve üretir
günlük dosyası, bu durumda 10 i dakika ve ardından sonucu işler. Biraz
İşletim sistemlerinde tcpdump veya snoop bulunmayabilir, bu nedenle bu çalışmayacaktır (bunun yerine
Ethereal'ı alabilir, çalıştırabilir, bir dosyaya kaydedebilir ve ardından normal modu kullanabilir). Var
ana index.html ve bir alt dosyadaki index.html raporu dirbiçiminde olan
out_YYYYMMDD-hhmm, örneğin "out_20031003-2221".
bağımsız, çok
Örneğin "kaos okuyucu -S 5,12", burası kaos okuyucu tcpdump/snoop'u çalıştırır ve
birçok günlük dosyası oluşturur, bu durumda her biri 12 dakika olmak üzere 5 kez örneklenir.
Bu çalışırken, ilerlemeyi izlemek için ana index.html görüntülenebilir;
her alt dizindeki minör index.html raporlarına bağlantılar.
bağımsız, yeniden yapmak
Örneğin "kaos okuyucu -ve -z", (NS -z), bağımsız bir yakalamanın yapıldığı yer burasıdır.
daha önce gerçekleştirildi - ve şimdi günlükleri yeniden işlemek istiyorsunuz - belki
farklı seçenekler (bu durumda, "-ve"). Hangisini belirlemek için index.file dosyasını okur.
okumak için günlükleri yakalayın.
bağımsız, sonsuz
Örneğin "kaos okuyucu -S 5", bağımsız birçok kişi gibi - ancak sonsuza kadar çalışır (eğer
ihtiyaç?). Disk alanınıza dikkat edin!
Not: Bu devam eden bir çalışmadır, kodun bir kısmı biraz cilasız.
TAVSİYELER
· Çalıştırmak kaos okuyucu boş bir dizinde.
· Küçük paket dökümleri oluşturun. Chaosreader, bellekteki döküm boyutunun yaklaşık 5 katı kadarını kullanır. 100 Mb
dosyanın işlenmesi için 500Mb RAM gerekebilir.
· tcpdump'ınız izin verebilir "-s0" (tüm paket) " yerine-s9000".
· Özellikle bağımsız modda çok fazla disk alanı kullanmaya dikkat edin.
· Büyük bir index.html veren çok fazla küçük bağlantı yakalarsanız, -m
küçük bağlantıları yok sayma seçeneği. Örneğin "-m 1k".
· snoop günlükleri aslında daha iyi çalışabilir. Snoop günlükleri RFC1761'e dayanmaktadır, ancak
tcpdump/libpcap'ın birçok çeşidi ve bu program hepsini okuyamıyor. eğer varsa
Ethereal, "farklı kaydet" seçeneği sırasında snoop günlükleri oluşturabilirsiniz. Solaris'te "snoop" kullanın
-o log dosyası".
· tcpdump günlükleri, farklı boyutta zaman damgaları kullanan işletim sistemleri arasında taşınabilir olmayabilir veya
endian
· Günlükler en iyi hız için bir bellek dosya sisteminde, genellikle /tmp'de oluşturulur.
· X11 veya VNC kayıttan yürütmeleri için, ilk önce, yakın zamanda yakaladığınız bir oturumu yeniden oynatarak alıştırma yapın.
sahip olmak. En büyük sorun renk derinliğidir, ekranınızın yakalama ile eşleşmesi gerekir. X11 için
kimlik doğrulamasını kontrol edin (xhost +), VNC için görüntüleyici seçeneklerini kontrol edin (-8bit, "Hekstil",
...)
· SSH analizi, "sshkeydata" programı ile aşağıdaki resimde gösterildiği gibi yapılabilir.
http://www.brendangregg.com/sshanalysis.html . kaos okuyucu giriş dosyalarını sağlar
(*.keydata) sshkeydata analiz eder.
onworks.net hizmetlerini kullanarak kaos okuyucuyu çevrimiçi kullanın
