From Aldeid

Jump to: navigation, search
Translation.png
This article needs to be translated
This article has been copied from the old wiki and is in french. It needs to be translated into english. If you wish to participate, please send a mail to (click to reveal email)

Contents

chaosreader

Description

Chaosreader est un analyseur de sessions capable de reconnaître beaucoup de formats à partir d'un fichier de capture (tcpdump, snoop, ethereal), parmi lesquels les sessions telnet, les fichiers FTP, les transferts HTTP (HTML, GIF, JPEG, ...), les emails SMTP. Il créé un rapport HTML permettant de lister toutes les sessions et offre des capacités de rejeu pour les sessions telnet, rlogin ou IRC.

Installation

# cd /usr/local/bin/
# wget http://freefr.dl.sourceforge.net/project/chaosreader/chaosreader/0.94/chaosreader0.94
# mv chaosreader0.94 chaosreader
# chmod +x chaosreader

Utilisation

Syntaxe

Voir les modes de fonctionnement pour plus d'informations.

  • Mode lecture de fichier : 
chaosreader [-aehikqrvxAHIRTUXY] [-D dir] 
                  [-b port[,...]] [-B port[,...]] 
                  [-j IPaddr[,...]] [-J IPaddr[,...]] 
                  [-l port[,...]] [-L port[,...]] [-m bytes[k]]
                  [-M bytes[k]] [-o "time"|"size"|"type"|"ip"]
                  [-p port[,...]] [-P port[,...]] 
                  infile [infile2 ...]
  • Mode capture (standalone) : 
chaosreader -s [mins] | -S [mins[,count]]   
                [-z] [-f 'filter']

Paramètres

-a, --application
       Créé les fichiers de session de l'application (comportement par défaut)

-e, --everything
       Créer les fichiers HTML et hex pour tout

-h
       Affiche une aide succinte

--help
       Affiche l'aide détaillée

--help2
       Affiche l'aide complète

-i, --info
       Créé un fichier d'informations (.info) pour chaque élément

-q, --quiet
       Mode silencieux, n'affiche rien sur la sortie standard (stdout)

-r, --raw
       Créé les fichiers raw (texte brut)

-v, --verbose
       Mode verbeux. Créé TOUS les fichiers

-x, --index
       Créer les fichiers d'index (comportement par défaut)

-A, --noapplication
       Exclut les fichiers de session de l'application

-H, --hex
       Inclus les sorties hex (lent)

-I, --noinfo
       Exclut les fichiers d'informations (.info)s

-R, --noraw
       Exclut les fichiers raw (texte brut)

-T, --notcp
       Exclut le trafic TCP

-U, --noudp
       Exclut le trafic UDP

-Y, --noicmp
       Exclut le trafic ICMP

-X, --noindex
       Exclut les fichiers d'index

-k, --keydata
       Créé les fichiers supplémentaires d'analyse des touches frappées

-D <dir>, --dir <dir>
       Spécifie le répertoire de sortie

-b <p1,p2,...,pN>, --playtcp <p1,p2,...,pN>
       Rejoue les ports TCP spécifiés dans la liste <p1,p2,...pN>

-B <p1,p2,...,pN>, --playudp <p1,p2,...,pN>
       Rejoue les ports UDP spécifiés dans la liste <p1,p2,...,pN>

-l <p1,p2,...,pN>, --htmltcp <p1,p2,...,pN>
       Créé les pages HTML pour les ports TCP spécifiés dans la liste <p1,p2,...,pN>

-L <p1,p2,...,pN>, --htmludp <p1,p2,...,pN>
       Créé les pages HTML pour les ports UDP spécifiés dans la liste <p1,p2,...,pN>

-m <nk>, --min <nk>
       Volume minimum des connexions (exprimé en "k" pour Kb) à enregistrer

-M <nk>, --max <nk>
       Volume minimum des connexions (exprimé en "k" pour Kb) à enregistrer

-o {time|size|type|ip}, --sort {time|size|type|ip}
       Ordre de tri : time/size/type/ip (time par défaut)

-p <p1,p2,...,pN>, --port <p1,p2,...,pN>
       N'analyse que les ports (TCP et UDP) spécifiés dans la liste <p1,p2,...,pN>

-P <p1,p2,...,pN>, --noport <p1,p2,...,pN>
       N'analyse pas les ports (TCP et UDP) spécifiés dans la liste <p1,p2,...,pN>

-s <t>, --runonce <n>
       Mode Standalone. Exécute tcpdump/snoop pour <n> mins.

-S <t,n>, --runmany <t,n>
       Mode Standalone multiple. Exécute <n> extraits de <t> mins chacun.

-S <t>, --runmany <t>
       Mode Standalone, infini. Des extraits de <t> min sans fin.

-z, --runredo
       Mode Standalone, rejeu. Rejoue les derniers logs.

-j <ip1,ip2,...,ipN>, --ipaddr <ip1,ip2,...,ipN>
       N'analyse que les IPs spécifiées dans la liste <ip1,ip2,...,ipN>

-J <ip1,ip2,...,ipN>, --noipaddr <ip1,ip2,...,ipN>
       Exclut de l'analyse les IPs spécifiées dans la liste <ip1,ip2,...,ipN>

-f '<filter>', --filter '<filter>'
       Avec le mode standalone, spécifie un filtre (p. ex. 'port 22').

Fichiers créés par Chaosreader

Fichier Description
session_* Fichiers de sessions TCP
stream_* Fichiers de flux UDP
icmp_* Paquets ICMP
index.html Index HTML
index.text Index texte
index.file Fichier d'index pour le rejeu du mode Standalone
image.html Rapport HTML des images
getpost.html Rapport HTML des requêtes HTTP GET/POST
*.info Fichiers d'informations résumé des sessions/flux
*.raw Fichiers de capture 2-way raw (format brut) triés par ordre chronologique
*.raw1 Fichiers de capture 1-way raw (format brut) server->client
*.raw2 Fichiers de capture 1-way raw (format brut) client->server
*.replay Script (perl) de rejeu des sessions
*.partial.* Capture partielle
*.hex.html Dump hex 2-way, présenté en HTML coloré
*.hex.text Dump hex 2-way présenté en texte
*.X11.replay Script de rejeu X11
*.textX11.replay texte du script de rejeu X11
*.textX11.html texte du script de rejeu X11 au format HTML (bleu et rouge)
*.keydata Fichier de données sur l'appui des touches, utilisé pour l'analyse SSH

Modes de fonctionnement

  • Normal : traite les données à partir d'un fichier de capture au format tcpdump/snoop. Par exemple chaosreader capture.cap
  • Standalone, unique : exécute tcpdump/snoop et génère un fichier de capture exploité ensuite par chaosreader. Par exemple chaosreader -s 5
  • Standalone, multiple : exécute tcpdump/snoop et génère plusieurs fichiers de capture en fonction des paramètres fournis. Le fichier index.html peut être consulté en temps réel afin de voir l'avancement. Par exemple chaosreader -S 5,10
  • Standalone, rejeu : permet le rejeu d'actions enregistrées dans un fichier de capture (index.file). Par exemple chaosreader -ve -z
  • Standalone, infini : active le mode de capture infini. Par exemple chaosreader -S 5

Exemples

# ./chaosreader evidence02.pcap 
$* is no longer supported at ./chaosreader line 265.
Chaosreader ver 0.94

Opening, evidence02.pcap

Reading file contents,
 100% (335144/335144)
Reassembling packets,
 100% (539/542)

Creating files...
   Num  Session (host:port <=> host:port)              Service
  0007  192.168.1.159:1036,64.12.102.142:587           submission
  0008  192.168.1.159:1038,64.12.102.142:587           submission
  0002  192.168.1.10:123,192.168.1.255:123             ntp
  0009  192.168.1.159:1025,192.168.1.30:514            syslog
  0001  192.168.1.10:52111,192.168.1.30:514            syslog
  0006  192.168.1.159:1026,10.1.1.20:53                domain
  0005  192.168.1.10:123,192.168.1.30:123              ntp
  0004  192.168.1.159:137,192.168.1.255:137            netbios-ns
  0003  192.168.1.159:138,192.168.1.255:138            netbios-dgm

index.html created.

Le résultat produit est le suivant :

Chaosreader-1.png

Retrieved from "http://www.aldeid.com/wiki/Chaosreader"
Aldeid.com • Sébastien DAMAYE • Network Security, Ethical Hacking, Network Forensics