Chaosreader - 云端在线

通过 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器在 OnWorks 免费托管服务提供商中运行 Chaosreader

这是命令 Chaosreader，可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行，例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器

在 Ubuntu 中运行在 Fedora 中运行在 Windows Sim 中运行在 MACOS Sim 中运行

程序：

您的姓名

混乱阅读器 - 跟踪网络会话并将其导出为 html 格式

概要

混乱阅读器

混乱阅读器 [-aehikqrvxAHIRTUXY[-D DIR]
[-b 港口[，...]] [-B 港口[，...]]
[-j IP 地址 [,...]] [-J IP 地址 [,...]]
[-l 港口[，...]] [-L 港口[，...]] [-m 字节[k]]
[-M 字节[k]] [-o “时间”|“大小”|“类型”|“ip”]
[-p 港口[，...]] [-P 港口[，...]]
入档 [输入文件2 ...]

混乱阅读器 -s [分钟] | -S [分钟[，数数]]
[-z[-f '筛选']

商品描述

Chaosreader 跟踪 TCP/UDP/others 会话并从 snoop 或
tcpdump 日志。这是一种“any-snarf”程序，因为它将获取 telnet 会话、FTP
文件、HTTP 传输（HTML、GIF、JPEG 等）和来自内部捕获数据的 SMTP 电子邮件
网络流量日志。一个 html 索引文件被创建到所有会话的链接
详细信息，包括 telnet、rlogin、IRC、X11 和 VNC 会话的实时重播程序。
Chaosreader 报告，例如图像报告和 HTTP GET/POST 内容报告。

Chaosreader 也可以在独立模式下运行，它调用 tcpdump 来创建日志
文件，然后处理它们。

配置

-一种， - 应用
创建应用程序会话文件（默认）

-e， - 一切
为所有内容创建 HTML 2-way & hex 文件

-h 打印一个简短的帮助

- 帮帮我 打印详细帮助（此）和版本

--帮助2
打印大量帮助

-一世， - 信息
创建信息文件

-q, - 安静的
安静，没有输出到屏幕

-r, - 生的
创建原始文件

-v， --详细
详细 - 创建所有文件..（除了 -e)

-X， - 指数
创建索引文件（默认）

-一种， --无申请
排除应用程序会话文件

-H， --十六进制
包括十六进制转储（慢）

-一世， --无信息
排除信息文件

-R, --诺拉夫
排除原始文件

-T, --notcp
排除 TCP 流量

-U， --noudp
排除 UDP 流量

-Y, --noicmp
排除 ICMP 流量

-X， --无索引
排除索引文件

-k, --密钥数据
为击键分析创建额外的文件

-D DIR, --DIR DIR
将所有文件输出到该目录

-b --playtcp 25,79
也重播这些 TCP 端口（回放）

-B --playudp 36,42
也重播这些 UDP 端口（回放）

-l --htmltcp 7,79
也为这些 TCP 端口创建 HTML

-L --htmludp 7,123
也为这些 UDP 端口创建 HTML

-m 1k， --分钟 1k
要保存的最小连接大小（“k”代表 Kb）

-M 1024k， - 最大限度 1k
要保存的最大连接大小（“k”代表 Kb）

-o 尺寸， - 种类 尺寸
排序顺序：时间/大小/类型/ip（默认时间）

-p - 港口 21,23
仅检查这些端口（TCP 和 UDP）

-P --noport 80,81
排除这些端口（TCP 和 UDP）

-s 5, --运行一次 5
独立。运行 tcpdump/snoop 5 分钟.

-S --runmany 5,10
独立的，很多。 10 个样品 5 个分钟每个。

-S 5, --runmany 5
独立，无止境。 5 分钟样本永远。

-z --运行重做
独立，重做。重读上次运行的日志。

-j --ip 地址 10.1.2.1
只检查这些 IP

-J --noipaddr 10.1.2.1
排除这些 IP

-f '港口 7'， - 筛选 '港口 7'
对于独立，使用此转储过滤器。

OUTPUT FILES

index.html的
Html 索引（完整详细信息）

索引文本
文字索引

索引文件
独立重做模式的文件索引

图像.html
图像的 HTML 报告

获取post.html
HTTP GET/POST 请求的 HTML 报告

session_0001.info
描述 TCP 会话 #1 的信息文件

session_0001.telnet.html
HTML 彩色 2 路捕获（按时间排序）

session_0001.telnet.raw
原始数据 2 路捕获（按时间排序）

session_0001.telnet.raw1
原始 1 路捕获（组装）服务器-> 客户端

session_0001.telnet.raw2
原始 1 路捕获（组装）客户端-> 服务器

session_0002.web.html
HTML 彩色 2 路

session_0002.part_01.html
上面的 HTTP 部分，一个 HTML 文件

session_0003.web.html
HTML 彩色 2 路

session_0003.part_01.jpeg
上面的HTTP部分，一个JPEG文件

session_0004.web.html
HTML 彩色 2 路

session_0004.part_01.gif
上面的HTTP部分，一个GIF文件

session_0005.part_01.ftp-data.gz
一个 FTP 传输，一个 gz 文件。

公约

会议_*
TCP 会话

溪流_*
UDP 流

icmp_* ICMP数据包

index.html的
HTML索引

索引文本
文本索引

索引文件
仅适用于独立重做模式的文件索引

图像.html
图像的 HTML 报告

获取post.html
HTTP GET/POST 请求的 HTML 报告

*。信息描述会话/流的信息文件

*。生的原始数据 2 路捕获（按时间排序）

*.raw1 原始 1 路捕获（组装）服务器-> 客户端

*.raw2 原始 1 路捕获（组装）客户端-> 服务器

*。重播
会话重放程序 (perl)

*。部分的。*
部分捕获（tcpdump/snoop 知道丢弃）

*.hex.html
2 路十六进制转储，以彩色 HTML 呈现

*.hex.文本
纯文本中的 2 路十六进制转储

*.X11.重播
X11 回放脚本（讨论 X11）

*.textX11.重播
X11 通信文本重放脚本（仅文本）

*.textX11.html
2 路文本报告，以红色/蓝色 HTML 呈现

*.keydata
击键延迟数据文件。用于 SSH 分析。

模式

正常例如“混乱阅读器 入档"，这是之前创建 tcpdump/snoop 文件的地方
和 混乱阅读器 读取并处理它。

独立一旦
例如“混乱阅读器 -s 10" 这是哪里 混乱阅读器 运行 tcpdump/snoop 并生成
日志文件，在本例中为 10 i 分钟，然后处理结果。一些
操作系统可能没有 tcpdump 或 snoop 可用，因此这将不起作用（相反，您可能
能够获得 Ethereal，运行它，保存到一个文件，然后使用普通模式）。有一个
主 index.html 和报告 index.html 在一个子 DIR，这是格式
out_YYYYMMDD-hhmm，例如“out_20031003-2221”。

独立， 许多
例如“混乱阅读器 -S 5,12"，这就是 混乱阅读器 运行 tcpdump/snoop 和
生成许多日志文件，在这种情况下，它采样 12 次，每次 5 分钟。
在此运行时，可以查看主 index.html 以查看进度，其中
链接到每个子目录中的次要 index.html 报告。

独立， 重做
例如“混乱阅读器 -ve -z“，（这 -z)，这是独立捕获的地方
以前执行过 - 现在您想重新处理日志 - 也许用
不同的选项（在这种情况下，“-ve"). 它读取 index.file 以确定哪个
捕获要读取的日志。

独立， 无穷
例如“混乱阅读器 -S 5"，就像许多独立的一样 - 但永远运行（如果你有
需要？）。注意你的磁盘空间！

注意：这是一项正在进行中的工作，一些代码有点未完善。

建议

· 跑 混乱阅读器 在一个空目录中。

· 创建小数据包转储。 Chaosreader 在内存中使用大约 5 倍的转储大小。一个 100Mb
文件可能需要 500Mb 的 RAM 来处理。

· 您的 tcpdump 可能允许“-S0“（整个数据包）而不是“-S9000".

· 小心使用过多的磁盘空间，尤其是独立模式。

· 如果你捕获了太多的小连接给出一个巨大的 index.html，尝试使用 -m
忽略小连接的选项。例如“-m 1千”。

· 窥探日志实际上可能工作得更好。 Snoop 日志基于 RFC1761，但是有
tcpdump/libpcap 的许多变种，而这个程序不能全部读取它们。如果你有
您可以在“另存为”选项中创建窥探日志。在 Solaris 上使用“snoop
-o 日志文件”。

· tcpdump 日志可能无法在使用不同大小时间戳的操作系统之间移植或
端序。

· 日志最好在内存文件系统中创建以提高速度，通常是/tmp。

· 对于 X11 或 VNC 回放，首先通过回放最近捕获的会话来练习
自己的。最大的问题是颜色深度，你的屏幕必须匹配捕获。对于 X11
检查身份验证（xhost +），对于 VNC 检查查看器选项（-8位, "十六进制",
...）

· SSH 分析可以使用“sshkeydata”程序执行，如上所示
http://www.brendangregg.com/sshanalysis.html . 混乱阅读器 提供输入文件
(*.keydata) sshkeydata 分析。

使用 onworks.net 服务在线使用 Chaosreader