Wednesday, October 18th, 2017

Изучение сетевой активности с использованием утилиты Chaosreader

Published on Январь 29, 2009 by   ·   Комментариев нет

Я уже написал довольно немало об изучении сетевой активности на уровне пакетов. Такие действия могут дать некоторую ключевую информацию о Вашей сети. Еще одной утилитой, которая может помочь Вам определить сетевую активность, является программа под названием Chaosreader. Прочтите дальше, чтобы узнать больше об этой превосходной утилите и ее возможностях.

Утилита изучения данных

Я уже писал об использовании анализа пакетов и сбора данных на протяжении нескольких статей. Эти методы позволяют Вам изучать данные в чистом  виде – в виде пакета. В этом нет ничего нового для тех из нас, кому часто приходится изучать сигналы и оповещения, генерируемые различными устройствами безопасности. Однако, смотря на сами пакеты, мы не видим данных уровня приложений, которые, возможно, эти пакеты содержат. И это справедливо для любой бинарной передачи данных, которая может происходить и в случае передачи изображения, и в случае передачи программы на уровне пакетов. Было бы замечательно, если бы мы могли воссоздать поток данных, который можно увидеть.

В сегодняшних корпоративных сетях служащие, работающие там, довольно часто пользуются доступом в Internet. Честно говоря, я никогда не понимал такого поведения, так как, в общем-то, на работу мы ходим, чтобы работать, а не сидеть в Internet часами. И это замечательно вписывается в проблемы, которые имеют многие корпорации на своих рабочих местах. Эта проблема – служащий, который тратит слишком много времени на брожение по Internet вместо выполнения того, за что ему платят деньги. Однажды замеченное менеджером, такое поведение объясняет целую последовательность событий. Отдел кадров оповещается менеджером и запрашивается совет на то, как поступить в данном случае. Обычно служащему выносится та или иная форма выговора. Что же происходит, если служащий отрицает обвинение? В конце концов, Вам нужно просто увидеть то, что, по Вашему мнению, было чрезмерным использованием Internet. Вам требуются доказательства.

На любой случай есть утилита

Проблему, подобную вышеуказанной, гораздо проще решать, если В вашем распоряжении есть неопровержимые доказательства. Вы можете просто сказать, что такой-то служащий создал трафик в размере X пакетов за рабочий день. Проблема с этим доказательством в том, что оно весьма не визуально. Визуальное представление Вашей информации будет гораздо более весомо, чем произвольные цифры. И вот тут Chaosreader вступает в игру. Он позволит Вам, взяв бинарный журнал событий, проиграть его для отображения серии HTML страниц. Они отобразят историю страниц, к которым был осуществлен доступ и другую интересную статистику. Такой тип визуализации гораздо более эффективен, чем споры со служащим. Сложно отрицать то, что видишь прямо перед собой!

Исходя из того, что большинство из нас используют и работают в окружении Microsoft Windows, обычно пробуются и используются утилиты, которые могут функционировать только в таком окружении. Если же Вы думаете, что Chaosreader работает только в мире win32, то Вам придется изменить мнение. Как можно увидеть по приведенной ссылке, этот продукт написан на языке PERL. По той причине он работает не только на ОС Windows, но и на Linux. Все, что Вам нужно, это установить интерпретатор языка PERL. Вы можете взять этот интерпретатор у компании ActiveState. Просто пройдите серии подтверждений и Вы сможете загрузить MSI файл для установки. Теперь самое время отметить то, если Вы еще этого не заметили, что Chaosreader зависит от версии языка PERL 5.6. Это означает, что Вам необходимо загрузить файл MSI именно версии PERL 5.6.x для установки но Ваш компьютер.

Давайте установим Chaosreader

Итак, мы подразумеваем, что Вы успешно установили интерпретатор языка PERL версии 5.6.x на Ваш компьютер. Он поставляется в виде MSI файла, так что все, что нужно сделать, это запустить его и пройти все диалоговые окна. Следующий шаг, это загрузка собственно Chaosreader по ссылкам, указанным вверху, если же Вам лень, то просто щелкните здесь. Теперь Вам нужно перетащить программу в корень диска C. Другими словами установите ее в c:\. Это для того, чтобы было легче перейти к ней, все подобные программы следует устанавливать в корень диска, если они не устанавливаются туда по умолчанию.

Теперь мы готовы к использованию этой программы, ну или хотя бы к просмотру ее опций. Откройте cmd.exe, перейдите в c:\ и введите следующую команду:

C:\> chaosreader0.94

Заметьте, Windows спросит Вас чем Вы хотите открыть эту программу. В чем дело, спросите Вы? Просто Chaosreader написан на Perl, а значит нам придется переименовать его во что-нибудь типа следующего;

c:>  copy chaosreader0.94 chaosreader.pl

Итак, переименовав или сделав новую копию, можно начинать и для этого ведите написанную ниже команду;

c:\> chaosreader.pl –help

В окне cmd.exe Вы должны увидеть написанные ниже строчки;

Version 0.94, 01-May-2004

USAGE: chaosreader [-aehikqrvxAHIRTUXY] [-D dir]
[-b port[,…]] [-B port[,…]]
[-j IPaddr[,…]] [-J IPaddr[,…]]
[-l port[,…]] [-L port[,…]] [-m bytes[k]]
[-M bytes[k]] [-o «time»|»size»|»type»|»ip»]
[-p port[,…]] [-P port[,…]]
infile [infile2 …]

chaosreader -s [mins] | -S [mins[,count]]
[-z] [-f ‘filter’]

chaosreader           # Create application session files, indexes

-a, —application     # Create application session files (default)
-e, —everything      # Create HTML 2-way & hex files for everything
-h                    # Print a brief help
—help                # Print verbose help (this) and version

Заметьте, что это сокращенное содержимое справки, поставляемой вместе с Chaosreader. Итак, теперь у нас есть готовый и запущенный Chaosreader. Что теперь нам нужно сделать, так это ввести в него некоторые бинарные данные. Для этого, я думаю, Вы поспользуетесь windump. Установив windump в корень диска c, можно начинать. Пожалуйста, обратите внимание, что Вам также необходимо установить winpcap для корректной работы windump. Теперь Вам необходимо ввести строку, подобную этой;

c:> windump.exe –w traffic –s 0

Этот фильтр будет собирать все пакеты, которые достигли Вашей сетевой карты и записывать их в двоичный файл-журнал с именем «traffic». Этот файл, названный «traffic» мы и будем использовать в Chaosreader. Теперь введите следующую команду для получения статистики от Chaosreader; (создайте папку под названием «chaos_output2» командой: mkdir chaos_output2)

C:\>chaosreader.pl -e traffic -D chaos_output2
Chaosreader ver 0.94

Открытие файла «traffic»

Reading file contents,
100% (2601433/2601433)
Reassembling packets,
100% (916/3061)

Создание файлов…

Num  Session (host:port <=> host:port)              Service
0009  192.168.1.102:4500,63.240.93.142:80            web
0012  192.168.1.102:4506,67.18.103.137:80            web
0018  192.168.1.102:4516,67.18.103.137:80            web
0017  192.168.1.102:4514,213.86.172.147:80           web
0003  192.168.1.102:4494,68.142.228.154:80           web
0013  192.168.1.102:4508,67.18.103.137:80            web
0004  192.168.1.102:4484,72.14.207.104:80            web
0011  192.168.1.102:4504,216.109.126.26:80           web
0005  192.168.1.102:4496,206.190.44.47:80            web
0015  192.168.1.102:4512,64.233.167.104:80           web
0014  192.168.1.102:4510,67.18.103.137:80            web
0016  69.50.174.2:12345,192.168.1.102:3704           3704
0007  192.168.1.102:4498,63.240.93.147:80            web
0001  192.168.1.102:4250,216.196.97.142:119          119
0002  192.168.1.102:4249,216.196.97.142:119          119
0010  192.168.1.102:4502,216.109.118.41:80           web
0008  192.168.1.102:1025,24.153.23.66:53             dns
0006  192.168.1.102:1025,24.153.22.67:53             dns

Создан index.html.

C:\>

Итак, как можно увидеть из вывода выше, созданного Chaosreader, у меня есть много файлов, находящихся в папке «chaos_output2», как видно ниже;

C:\chaos_output2>dir
Volume in drive C has no label.
Volume Serial Number is 806A-DE05

Папку  C:\chaos_output2

11/05/2005  12:52 PM    <DIR>          .
11/05/2005  12:52 PM    <DIR>          ..
11/05/2005  12:52 PM             9,430 getpost.html
11/05/2005  12:52 PM             4,381 httplog.text
11/05/2005  12:52 PM               516 image.html
11/05/2005  12:52 PM             9,344 index.html
11/05/2005  12:52 PM             6,254 index.text
11/05/2005  12:52 PM         2,129,400 session_0001.119.hex.html
11/05/2005  12:52 PM           972,286 session_0001.119.hex.text
11/05/2005  12:52 PM           279,154 session_0001.119.html
11/05/2005  12:52 PM         2,029,317 session_0002.119.hex.html
11/05/2005  12:52 PM           926,732 session_0002.119.hex.text
11/05/2005  12:52 PM           266,084 session_0002.119.html

Теперь, все что нужно сделать, это указать в Вашем браузере папку c:\ и перейти к папке, которую Вы указали для вывода всей извлеченной Chaosreader информации. Оттуда Вы можете загрузить файл «index.html» и перейти по предложенным ссылкам. Это не позволит служащему вывернуться из ситуации. Вы можете использовать эту утилиту в ситуациях, когда требуется наиболее полное и визуальное подтверждение. В это вся прелесть программы Chaosreader. Она предоставляет визуальный и информативный вывод, основанный на бинарном вводе. Эта утилита оень полезна и я рекомендую ее всем. Надеюсь, что эта статья Вам понравилась, и как всегда приветствуются Ваши пожелания. До новых встреч!

Источник www.windowsecurity.com
















































Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]