chaosreader - онлайн у хмарі

ПРОГРАМА:

ІМ'Я

chaosreader - відстежувати мережеві сеанси та експортувати їх у формат html

СИНТАКСИС

chaosreader

chaosreader [-aehikqrvxAHIRTUXY] [-D реж]
[-b порт[,...]] [-B порт[,...]]
[-j IP-адрес[,...]] [-J IP-адрес[,...]]
[-l порт[,...]] [-L порт[,...]] [-m байт [к]]
[-M байт [к]] [-o "час"|"розмір"|"тип"|"ip"]
[-p порт[,...]] [-P порт[,...]]
infile [infile2 ...]

chaosreader -s [хв] | -S [хв[,рахувати]]
[-z] [-f 'фільтр']

ОПИС

Chaosreader відстежує TCP/UDP/інші сеанси та отримує дані програми з snoop або
журнали tcpdump. Це тип програми "any-snarf", оскільки вона отримуватиме сеанси telnet, FTP
файли, передачі HTTP (HTML, GIF, JPEG тощо) та електронні листи SMTP із захоплених даних всередині
журнали мережевого трафіку. Для цього створюється файл індексу html, який посилає на весь сеанс
деталі, включаючи програми відтворення в реальному часі для сеансів telnet, rlogin, IRC, X11 і VNC.
Звіти Chaosreader, такі як звіти про зображення та звіти про вміст HTTP GET/POST.

Chaosreader також може працювати в автономному режимі, де він викликає tcpdump для створення журналу
файли, а потім обробляє їх.

ВАРІАНТИ

-а, --застосування
Створення файлів сеансу програми (за замовчуванням)

-е, --все
Створюйте HTML двосторонні та шістнадцяткові файли для всього

-h Роздрукуйте коротку довідку

--допомога Надрукуйте докладну довідку (це) та версію

--довідка2
Роздрукуйте велику допомогу

-я, --інформація
Створити інформаційний файл

-q, --спокійно
Тихий, без виведення на екран

-р, -сирий
Створюйте необроблені файли

-v, -багатослівний
Детально - створити ВСІ файли .. (крім -e)

-x, --індекс
Створити індексні файли (за замовчуванням)

-A, --без застосування
Виключити файли сеансу програми

-Н, --шістнадцятковий
Включити шістнадцяткові дами (повільно)

-я, --noinfo
Виключити інформаційні файли

-Р, --noraw
Виключити необроблені файли

-Т, --notcp
Виключити трафік TCP

-У, --noudp
Виключити UDP-трафік

-Y, --noicmp
Виключити трафік ICMP

-X, --noindex
Виключити індексні файли

-к, --ключові дані
Створіть додаткові файли для аналізу натискань клавіш

-D реж, --реж реж
Вивести всі файли в цей каталог

-b 25,79, --playtcp 25,79
відтворити також ці порти TCP (відтворення)

-B 36,42, --playudp 36,42
повторно відтворити ці порти UDP (відтворення)

-l 7,79, --htmltcp 7,79
Також створіть HTML для цих портів TCP

-L 7,123, --htmludp 7,123
Також створіть HTML для цих портів UDP

-m 1k, --хв 1k
Мінімальний розмір підключення для збереження ("k" для Кб)

-M 1024k, --макс 1k
Максимальний розмір підключення для збереження ("k" для Кб)

-o розмір, --сортувати розмір
Порядок сортування: час/розмір/тип/ip (час за замовчуванням)

-p 21,23, --порт 21,23
Перевірте лише ці порти (TCP і UDP)

-P 80,81, --noport 80,81
Виключити ці порти (TCP і UDP)

-s 5, -- Runonce 5
Автономний. Запустіть tcpdump/snoop для 5 хв.

-S 5,10, --виконати багато 5,10
Автономно, багато. 10 зразків з 5 хв кожен.

-S 5, --виконати багато 5
Самостійний, нескінченний. 5-хвилинні зразки назавжди.

-z, --виконати повтор
Автономно, переробити. Перечитує журнали останнього запуску.

-j 10.1.2.1, --ipaddr 10.1.2.1
Перевірте лише ці IP-адреси

-J 10.1.2.1, --noipaddr 10.1.2.1
Виключіть ці IP-адреси

-f 'порт 7', --фільтр 'порт 7'
В автономному режимі використовуйте цей фільтр дампа.

ВИХІД ФАЙЛИ

index.html
Html індекс (повна інформація)

індекс.текст
Текстовий покажчик

index.file
Індекс файлу для автономного режиму повторення

image.html
HTML звіт про зображення

getpost.html
HTML-звіт запитів HTTP GET/POST

session_0001.info
Інформаційний файл, що описує сеанс TCP №1

session_0001.telnet.html
HTML кольоровий двосторонній захоплення (відсортований за часом)

session_0001.telnet.raw
Двосторонній збір необроблених даних (відсортований за часом)

session_0001.telnet.raw1
Необроблене одностороннє захоплення (збірка) сервер->клієнт

session_0001.telnet.raw2
Необроблене одностороннє захоплення (збірка) клієнт->сервер

session_0002.web.html
Двосторонній кольоровий HTML

session_0002.part_01.html
HTTP частина наведеного вище, файл HTML

session_0003.web.html
Двосторонній кольоровий HTML

session_0003.part_01.jpeg
HTTP частина наведеного вище, файл JPEG

session_0004.web.html
Двосторонній кольоровий HTML

session_0004.part_01.gif
HTTP частина наведеного вище, файл GIF

session_0005.part_01.ftp-data.gz
Передача FTP, файл gz.

КОНВЕНЦІЇ

сесія_*
Сесії TCP

потік_*
Потоки UDP

icmp_* ICMP-пакети

index.html
Індекс HTML

індекс.текст
Текстовий покажчик

index.file
Індекс файлів лише для автономного режиму повторення

image.html
HTML звіт про зображення

getpost.html
HTML-звіт запитів HTTP GET/POST

*.info Інформаційний файл з описом сеансу/потоку

*.сирий Двосторонній збір необроблених даних (відсортований за часом)

*.raw1 Необроблене одностороннє захоплення (збірка) сервер->клієнт

*.raw2 Необроблене одностороннє захоплення (збірка) клієнт->сервер

*.повтор
Програма відтворення сеансу (perl)

*.частково.*
Часткове захоплення (tcpdump/snoop знали про падіння)

*.hex.html
Двосторонній шістнадцятковий дамп, відтворений у кольоровому HTML

*.шістнадцятковий.текст
Двосторонній шістнадцятковий дамп у вигляді простого тексту

*.X11.повтор
Сценарій відтворення X11 (розмови X11)

*.textX11.replay
Сценарій відтворення тексту X11 (лише текст)

*.textX11.html
Двосторонній текстовий звіт, відтворений у червоному/синьому HTML

*.keydata
Файл даних про затримку натискання клавіш. Використовується для аналізу SSH.

РЕЖИМИ

нормальний наприклад "chaosreader infile", тут раніше був створений файл tcpdump/snoop
та chaosreader читає та обробляє його.

Автономні один раз
наприклад "chaosreader -s 10" ось де chaosreader запускає tcpdump/snoop і генерує
файл журналу, у цьому випадку протягом 10 i хвилин, а потім обробляє результат. Дещо
ОС може не мати доступу tcpdump або snoop, тому це не працюватиме (замість цього ви можете
мати можливість отримати Ethereal, запустити його, зберегти у файл, а потім використовувати звичайний режим). Існує
master index.html та звіт index.html у підпорядкуванні реж, який має формат
out_YYYYMMDD-hhmm, наприклад, "out_20031003-2221".

автономний, багато
наприклад "chaosreader -S 5,12", ось де chaosreader запускає tcpdump/snoop і
генерує багато файлів журналів, у цьому випадку він виконує вибірки 12 разів по 5 хвилин кожен.
Поки це виконується, можна переглядати головний index.html, щоб спостерігати за прогресом, який
посилання на незначні звіти index.html у кожному підкаталозі.

автономний, переробляти
наприклад "chaosreader -ве -z", ( -z), саме тут був автономний зйомка
раніше виконано - і тепер ви хотіли б повторно обробити журнали - можливо, за допомогою
різні варіанти (у цьому випадку "-ве"). Він зчитує index.file, щоб визначити, який
записувати журнали для читання.

автономний, нескінченний
наприклад "chaosreader -S 5", як у багатьох автономних, але працює вічно (якщо у вас коли-небудь був
потрібно?). Слідкуйте за місцем на диску!

Примітка: над цим триває робота, частина коду трохи недошліфована.

ПОРАДИ

· Бігати chaosreader у порожньому каталозі.

· Створюйте невеликі дампи пакетів. Chaosreader використовує приблизно в 5 разів більший розмір дампу в пам'яті. А 100 Мб
для обробки файлу може знадобитися 500 Мб оперативної пам’яті.

· Ваш tcpdump може дозволяти "-S0" (весь пакет) замість "-S9000".

· Остерігайтеся використання занадто великого місця на диску, особливо в автономному режимі.

· Якщо ви фіксуєте занадто багато малих з'єднань, які дають величезний index.html, спробуйте використати -m
можливість ігнорувати невеликі з’єднання. наприклад "-m 1к".

· журнали snoop можуть працювати краще. Журнали Snoop засновані на RFC1761, однак є
багато варіантів tcpdump/libpcap, і ця програма не може прочитати їх усі. Якщо у вас є
Ethereal ви можете створювати журнали snoop під час опції «Зберегти як». На Solaris використовуйте «snoop
-o файл журналу".

· Журнали tcpdump можуть не переноситися між ОС, які використовують часові позначки різного розміру або
порядковий рядок.

· Журнали найкраще створювати у файловій системі пам'яті для швидкості, зазвичай /tmp.

· Для відтворення X11 або VNC спочатку потренуйтеся, відтворивши нещодавно знятий сеанс
власний. Найбільшою проблемою є глибина кольору, ваш екран повинен відповідати зйому. Для X11
перевірте автентифікацію (xhost +), для VNC перевірте параметри перегляду (-8 біт, «Гекстиль»,
...)

· Аналіз SSH можна виконати за допомогою програми "sshkeydata", як показано на
http://www.brendangregg.com/sshanalysis.html . chaosreader надає вхідні файли
(*.keydata), який аналізує sshkeydata.

Використовуйте chaosreader онлайн за допомогою служб onworks.net