Trình hỗn loạn - Trực tuyến trên Đám mây

CHƯƠNG TRÌNH:

TÊN

người đọc hỗn loạn - theo dõi các phiên mạng và xuất nó sang định dạng html

SYNOPSIS

người đọc hỗn loạn

người đọc hỗn loạn [-aehikqrvxAHIRTUXY] [-D dir]
[-b Hải cảng[,...]] [-B Hải cảng[,...]]
[-j IPaddr [, ...]] [-J IPaddr [, ...]]
[-l Hải cảng[,...]] [-L Hải cảng[,...]] [-m byte [k]]
[-M byte [k]] [-o "thời gian" | "kích thước" | "loại" | "ip"]
[-p Hải cảng[,...]] [-P Hải cảng[,...]]
trong tập tin [thông tin2 ...]

người đọc hỗn loạn -s [phút|] | -S [phút[,đếm]]
[-z] [-f 'lọc']

MÔ TẢ

Chaosreader theo dõi các phiên TCP / UDP / others và tìm nạp dữ liệu ứng dụng từ snoop hoặc
nhật ký tcpdump. Đây là một loại chương trình "bất kỳ snarf", vì nó sẽ tìm nạp các phiên telnet, FTP
tệp, truyền HTTP (HTML, GIF, JPEG, v.v.) và email SMTP từ dữ liệu được chụp bên trong
nhật ký lưu lượng mạng. Tệp chỉ mục html được tạo để liên kết đến tất cả phiên
chi tiết, bao gồm các chương trình phát lại theo thời gian thực cho các phiên telnet, rlogin, IRC, X11 và VNC.
Báo cáo Chaosreader như báo cáo hình ảnh và báo cáo nội dung HTTP GET / POST.

Chaosreader cũng có thể chạy ở chế độ độc lập, nơi nó gọi tcpdump để tạo nhật ký
và sau đó xử lý chúng.

LỰA CHỌN

-một, --ứng dụng
Tạo tệp phiên ứng dụng (mặc định)

-e, --mọi điều
Tạo tệp HTML 2 chiều & hex cho mọi thứ

-h In một trợ giúp ngắn gọn

--Cứu giúp In phần trợ giúp dài dòng (cái này) và phiên bản

--help2
In trợ giúp lớn

-tôi, --thông tin
Tạo tệp thông tin

-NS, --Yên lặng
Yên lặng, không có đầu ra màn hình

-NS, --thô
Tạo tệp thô

-v, --dài dòng
Verbose - Tạo TẤT CẢ các tệp .. (ngoại trừ -e)

-NS, --mục lục
Tạo tệp chỉ mục (mặc định)

-MỘT, --không ứng dụng
Loại trừ các tệp phiên ứng dụng

-NS, --hex
Bao gồm kết xuất hex (chậm)

-TÔI, --không có thông tin
Loại trừ các tệp thông tin

-NS, --noraw
Loại trừ các tệp thô

-NS, --notcp
Loại trừ lưu lượng TCP

-Anh, --noudp
Loại trừ lưu lượng UDP

-Ừ, --noicmp
Loại trừ lưu lượng ICMP

-NS, --noindex
Loại trừ các tệp chỉ mục

-k, --dữ liệu quan trọng
Tạo các tệp bổ sung để phân tích tổ hợp phím

-D dir, --dir dir
Xuất tất cả các tệp vào thư mục này

-b 25,79, --playtcp 25,79
phát lại các cổng TCP này (phát lại)

-B 36,42, --playudp 36,42
phát lại các cổng UDP này (phát lại)

-l 7,79, --htmltcp 7,79
Tạo HTML cho các cổng TCP này

-L 7,123, --htmludp 7,123
Tạo HTML cho các cổng UDP này

-m 1k, --phút 1k
Kích thước tối thiểu của kết nối để lưu ("k" cho Kb)

-M 1024k, --max 1k
Kích thước kết nối tối đa để lưu ("k" cho Kb)

-o kích thước, --loại kích thước
sắp xếp Thứ tự: thời gian / kích thước / loại / ip (Thời gian mặc định)

-p 21,23, --Hải cảng 21,23
Chỉ kiểm tra các cổng này (TCP & UDP)

-P 80,81, --noport 80,81
Loại trừ các cổng này (TCP & UDP)

-s 5, --chạy một lần 5
Độc lập. Chạy tcpdump / snoop trong 5 phút.

-S 5,10, --runmany 5,10
Độc lập, nhiều. 10 mẫu của 5 phút mỗi.

-S 5, --runmany 5
Độc lập, vô tận. 5 min mẫu mãi mãi.

-z, --runredo
Hàng độc, làm lại. Đọc lại nhật ký của lần chạy cuối cùng.

-j 10.1.2.1, --ipaddr 10.1.2.1
Chỉ kiểm tra các IP này

-J 10.1.2.1, --noipaddr 10.1.2.1
Loại trừ các IP này

-f 'Hải cảng 7 ', --lọc 'Hải cảng 7'
Với độc lập, hãy sử dụng bộ lọc kết xuất này.

OUTPUT CÁC TẬP TIN

index.html
Chỉ mục html (đầy đủ chi tiết)

chỉ mục.text
Chỉ mục văn bản

chỉ mục.file
Chỉ mục tệp cho chế độ làm lại độc lập

hình ảnh.html
Báo cáo HTML về hình ảnh

getpost.html
Báo cáo HTML về các yêu cầu HTTP GET / POST

phiên_0001.info
Tệp thông tin mô tả phiên TCP # 1

phiên_0001.telnet.html
Chụp 2 chiều có màu HTML (được sắp xếp theo thời gian)

session_0001.telnet.raw
Dữ liệu thô chụp 2 chiều (sắp xếp theo thời gian)

phiên_0001.telnet.raw1
Máy chủ nắm bắt 1 chiều thô (được lắp ráp) -> máy khách

phiên_0001.telnet.raw2
Máy khách -> máy chủ nắm bắt 1 chiều thô (đã lắp ráp)

phiên_0002.web.html
HTML được tô màu 2 chiều

phiên_0002.part_01.html
Phần HTTP của phần trên, một tệp HTML

phiên_0003.web.html
HTML được tô màu 2 chiều

phiên_0003.part_01.jpeg
Phần HTTP của phần trên, tệp JPEG

phiên_0004.web.html
HTML được tô màu 2 chiều

phiên_0004.part_01.gif
Phần HTTP của phần trên, tệp GIF

session_0005.part_01.ftp-data.gz
Chuyển FTP, một tệp gz.

Ý KIẾN

phiên họp_*
Phiên TCP

dòng_*
Luồng UDP

icmp_ * Gói ICMP

index.html
Chỉ mục HTML

chỉ mục.text
Chỉ mục văn bản

chỉ mục.file
Chỉ mục tệp chỉ dành cho chế độ làm lại độc lập

hình ảnh.html
Báo cáo HTML về hình ảnh

getpost.html
Báo cáo HTML về các yêu cầu HTTP GET / POST

*.thông tin Tệp thông tin mô tả Phiên / Luồng

* .raw Dữ liệu thô chụp 2 chiều (sắp xếp theo thời gian)

* .raw1 Máy chủ nắm bắt 1 chiều thô (được lắp ráp) -> máy khách

* .raw2 Máy khách -> máy chủ nắm bắt 1 chiều thô (đã lắp ráp)

*.phát lại
Chương trình phát lại phiên (perl)

*. một phần. *
Chụp một phần (tcpdump / snoop đã nhận biết được các giọt)

* .hex.html
Kết xuất Hex 2 chiều, được hiển thị bằng HTML màu

* .hex.text
Kết xuất Hex 2 chiều ở dạng văn bản thuần túy

* .X11.replay
Kịch bản phát lại X11 (nói chuyện X11)

* .textX11.replay
Tập lệnh phát lại văn bản được giao tiếp X11 (chỉ văn bản)

* .textX11.html
Báo cáo văn bản 2 chiều, được hiển thị bằng HTML màu đỏ / xanh lam

*.dữ liệu quan trọng
Tệp dữ liệu độ trễ khi gõ phím. Được sử dụng để phân tích SSH.

CHẾ ĐỘ

bình thường ví dụ "người đọc hỗn loạn trong tập tin", đây là nơi tệp tcpdump / snoop đã được tạo trước đó
và người đọc hỗn loạn đọc và xử lý nó.

Standalone hàng loạt
ví dụ "người đọc hỗn loạn -s 10 "đây là nơi người đọc hỗn loạn chạy tcpdump / snoop và tạo
tệp nhật ký, trong trường hợp này là 10 i phút, và sau đó xử lý kết quả. Một vài
Hệ điều hành có thể không có sẵn tcpdump hoặc snoop nên điều này sẽ không hoạt động (thay vào đó, bạn có thể
có thể lấy Ethereal, chạy nó, lưu vào một tệp, sau đó sử dụng chế độ bình thường). Đây là một
master index.html và báo cáo index.html trong một sub dir, có định dạng
out_YYYYMMDD-hhmm, ví dụ: "out_20031003-2221".

Độc lập, nhiều
ví dụ "người đọc hỗn loạn -S 5,12 ", đây là nơi người đọc hỗn loạn chạy tcpdump / snoop và
tạo nhiều tệp nhật ký, trong trường hợp này, nó lấy mẫu 12 lần, mỗi lần 5 phút.
Trong khi quá trình này đang chạy, bạn có thể xem index.html chính để theo dõi tiến trình,
liên kết đến các báo cáo index.html nhỏ trong mỗi thư mục con.

Độc lập, làm lại
ví dụ "người đọc hỗn loạn -đã -z", (NS -z), đây là nơi chụp độc lập
đã thực hiện trước đó - và bây giờ bạn muốn xử lý lại các bản ghi - có lẽ với
các tùy chọn khác nhau (trong trường hợp này, "-đã"). Nó đọc index.file để xác định
chụp nhật ký để đọc.

Độc lập, vô tận
ví dụ "người đọc hỗn loạn -S 5 ", giống như nhiều cái độc lập - nhưng chạy mãi mãi (nếu bạn đã từng có
nhu cầu?). Xem dung lượng ổ đĩa của bạn!

Lưu ý: đây là một công việc đang được tiến hành, một số mã còn một chút chưa được đánh bóng.

LỜI KHUYÊN

· Chạy người đọc hỗn loạn trong một thư mục trống.

· Tạo kết xuất gói nhỏ. Chaosreader sử dụng khoảng 5x kích thước kết xuất trong bộ nhớ. A 100Mb
tệp có thể cần 500Mb RAM để xử lý.

· Tcpdump của bạn có thể cho phép "-s0"(toàn bộ gói) thay vì"-s9000".

· Cẩn thận với việc sử dụng quá nhiều dung lượng ổ đĩa, đặc biệt là chế độ độc lập.

· Nếu bạn nắm bắt quá nhiều kết nối nhỏ tạo ra một index.html lớn, hãy thử sử dụng -m
tùy chọn để bỏ qua các kết nối nhỏ. ví dụ "-m 1k ”.

· Nhật ký rình mò có thể thực sự hoạt động tốt hơn. Nhật ký Snoop dựa trên RFC1761, tuy nhiên có
nhiều biến thể của tcpdump / libpcap và chương trình này không thể đọc tất cả. Nếu bạn có
Thanh khiết, bạn có thể tạo nhật ký rình mò trong tùy chọn "lưu dưới dạng". Trên Solaris sử dụng "snoop
-o logfile ”.

· Nhật ký tcpdump có thể không di động giữa các hệ điều hành sử dụng dấu thời gian có kích thước khác nhau hoặc
nội tạng.

· Các bản ghi được tạo tốt nhất trong hệ thống tập tin bộ nhớ để tăng tốc độ, thường là / tmp.

· Để phát lại X11 hoặc VNC, trước tiên hãy thực hành bằng cách phát lại phiên đã chụp gần đây của
riêng. Vấn đề lớn nhất là độ sâu màu, màn hình của bạn phải phù hợp với hình chụp. Đối với X11
kiểm tra xác thực (xhost +), đối với VNC, hãy kiểm tra các tùy chọn người xem (-8 bit, "Hệ lục phân",
...)

· Phân tích SSH có thể được thực hiện với chương trình "sshkeydata" như đã trình bày trên
http://www.brendangregg.com/sshanalysis.html . người đọc hỗn loạn cung cấp các tệp đầu vào
(* .keydata) mà sshkeydata phân tích.

Sử dụng công cụ tìm kiếm trực tuyến bằng các dịch vụ onworks.net