Изучение сетевой активности с помощью Chaosreader Tool

Опубликовано: 12 Апреля, 2023

Инструмент исследования данных

Я писал об использовании анализа пакетов и интеллектуального анализа данных в нескольких статьях. Эти методы дают вам возможность интерпретировать данные в их абсолютном формате; пакет. В этом нет ничего нового для тех из нас, кому часто приходится анализировать сигналы тревоги и оповещения, генерируемые различными устройствами безопасности. Одна вещь, которую мы не видим, глядя на сами пакеты, — это данные прикладного уровня, которые они могут транспортировать. Это, безусловно, верно для любой двоичной передачи, которая может иметь место, будь то изображение или фактическая программа, отправляемая на уровне пакетов. Конечно, было бы неплохо иметь возможность воссоздать поток данных, который мы видим.

В современных корпоративных сетях работающий там сотрудник воспринимает доступ в Интернет как должное. Я никогда не понимал такого мышления, если честно, так как на самом деле мы на работе, чтобы работать, а не часами сидеть в Интернете. Это прекрасно согласуется с проблемами, с которыми сталкиваются многие корпорации на рабочем месте. Эта проблема будет связана с сотрудником, который тратит слишком много времени на блуждание в Интернете, вместо того, чтобы делать то, за что ему платят. Как только менеджер замечает такое происшествие, ряд событий становится на свои места. Менеджер связывается с отделом кадров (человеческих ресурсов) и просит совета о том, как поступить в этой ситуации. Обычно это принимает форму вынесения работнику официального выговора. Но что делать, если сотрудник отрицает обвинения? В конце концов, вы просто видели то, что вы считаете чрезмерным использованием Интернета. Что вам нужно, так это доказательства.

Для каждой работы есть инструмент

Гораздо легче справиться с проблемой, подобной упомянутой выше, если в вашем распоряжении есть неопровержимые доказательства. Дело в том, что можно с уверенностью сказать, что за рабочий день сотрудник сгенерировал X пакетов. Проблема с этим подходом в том, что он не очень нагляден. Визуальное представление ваших данных — гораздо более мощный подход, чем произвольные числа. И вот здесь в игру вступает инструмент Chaosreader. Этот инструмент позволяет вам взять двоичный журнал и воспроизвести его через Chaosreader, чтобы получить хорошо выведенную серию HTML-страниц. Эти красиво отформатированные страницы будут иметь хронику посещенных страниц и другую интересную статистику. Наличие такого результата гораздо более эффективно, когда вы противостоите сотруднику. Довольно сложно отрицать то, что перед вами!

Что ж, учитывая, что большинство из нас используют и работают в среде Microsoft Windows, имеет смысл попробовать использовать инструменты, которые могут работать именно в такой среде. Вы действительно были бы правы, если бы предположили, что Chaosreader работает в мире win32. Предполагая, что вы перешли на гиперссылку, вы заметите, что она была написана на PERL. По этой причине он будет работать не только на платформе win32, но и на платформе Linux. Все, что вам потребуется для установки на любой платформе, — это интерпретатор PERL. Вы можете получить именно такой интерпретатор в ActiveState. Просто следуйте инструкциям, и вы сможете загрузить MSI для установки. Самое время отметить, что, если вы еще не заметили, Chaosreader зависит от PERL 5.6. Это означает, что вам нужно будет загрузить MSI-файл PERL 5.6.x для установки на свой компьютер.

Давайте установим Chaosreader

Что ж, будем считать, что вы успешно установили интерпретатор PERL 5.6.x на свой компьютер. Он поставляется в пакете MSI, поэтому все, что вам нужно сделать, это щелкнуть по нему и следовать инструкциям. Второй шаг — загрузить сам Chaosreader по гиперссылкам, показанным выше, или, если вам лень, просто нажмите здесь. Теперь вам нужно перетащить эту программу в корень c:. Другими словами, установите его по адресу c:. Это упрощает навигацию, так как все эти типы программ должны быть установлены там, если они еще не установлены там по умолчанию.

Теперь мы готовы продолжить и использовать его или, по крайней мере, вызвать его, чтобы увидеть, какие у него есть варианты. Откройте cmd.exe и перейдите к c: и введите следующую команду;

C:> читатель хаоса0.94

Вы заметите, что Windows спросит вас, с чем вы хотите открыть эту программу. Что случилось спросите вы? Что ж, Chaosreader был написан на PERL, поэтому нам нужно переименовать его примерно так:

c:> скопировать хаосчитатель0.94 хаосчитатель.пл

После того, как вы переименовали или сделали новую копию, вы можете продолжить и ввести указанную ниже команду;

c:> хаосreader.pl -помощь

Теперь в вашем cmd.exe должно быть указано следующее:

Версия 0.94, 01 мая 2004 г.

ИСПОЛЬЗОВАНИЕ: читатель хаоса [-aehikqrvxAHIRTUXY] [-D каталог]
[-b порт[,…]] [-B порт[,…]]
[-j IP-адрес[,…]] [-J IP-адрес[,…]]
[-l порт[,…]] [-L порт[,…]] [-m байт[k]]
[-M байт[k]] [-o "время"|"размер"|"тип"|"ip"]
[-p порт[,…]] [-P порт[,…]]
infile [infile2 …]





читатель хаоса -s [мин] | -S [мин[,количество]]
[-z] [-f 'фильтр']

Chaosreader # Создание файлов сеанса приложения, индексов

-a, --application # Создать файлы сеанса приложения (по умолчанию)
-e, --everthing # Создать двухсторонние и шестнадцатеричные HTML-файлы для всего
-h # Напечатать краткую справку
--help # Вывести подробную справку (эту) и версию


Обратите внимание, что это сокращенный вывод файла справки, включенного в Chaosreader. Итак, теперь у нас есть Chaosreader и он работает. Теперь нам нужно получить некоторый двоичный ввод для ввода в него. Для этого я бы предложил вам использовать Windump. После того, как вы установили Windump в корень диска C, мы готовы к работе. Пожалуйста, помните, что вам также понадобится winpcap для работы Windump. Теперь вам нужно будет ввести строку, подобную следующей, или ее вариант;

c:> windump.exe -w трафик -s 0

Этот фильтр BPF собирает все пакеты, попавшие на вашу сетевую карту, и записывает их в двоичный файл журнала под названием «трафик». Именно этот файл под названием «трафик» мы теперь будем использовать для загрузки в Chaosreader. Теперь введите следующую команду, чтобы получить вывод из Chaosreader; (создайте каталог с именем «chaos_output2», например: mkdir хаос_output2)

C:>chaosreader.pl -e traffic -D хаос_выход2
Читатель хаоса версия 0.94

Открытие, трафик

Чтение содержимого файла,
100% (2601433/2601433)
Сборка пакетов,
100% (916/3061)


Создание файлов…

Номер сеанса (хост:порт <=> хост:порт) Служба
0009 192.168.1.102:4500,63.240.93.142:80 Интернет
0012 192.168.1.102:4506,67.18.103.137:80 Интернет
0018 192.168.1.102:4516,67.18.103.137:80 Интернет
0017 192.168.1.102:4514,213.86.172.147:80 Интернет
0003 192.168.1.102:4494,68.142.228.154:80 Интернет
0013 192.168.1.102:4508,67.18.103.137:80 Интернет
0004 192.168.1.102:4484,72.14.207.104:80 Интернет
0011 192.168.1.102:4504,216.109.126.26:80 Интернет
0005 192.168.1.102:4496,206.190.44.47:80 Интернет
0015 192.168.1.102:4512,64.233.167.104:80 Интернет
0014 192.168.1.102:4510,67.18.103.137:80 Интернет
0016 69.50.174.2:12345,192.168.1.102:3704 3704
0007 192.168.1.102:4498,63.240.93.147:80 Интернет
0001 192.168.1.102:4250,216.196.97.142:119 119
0002 192.168.1.102:4249,216.196.97.142:119 119
0010 192.168.1.102:4502,216.109.118.41:80 Интернет
0008 192.168.1.102:1025,24.153.23.66:53 DNS
0006 192.168.1.102:1025,24.153.22.67:53 DNS

















index.html создан.

С:>

Итак, как видно из приведенного выше вывода, сгенерированного Chaosreader, у меня есть несколько файлов, находящихся в каталоге «chaos_output2», как показано ниже;

C:chaos_output2>каталог
Том на диске C не имеет метки.
Серийный номер тома: 806A-DE05.

Каталог C:chaos_output2

05.11.2005 12:52 <DIR>.
05.11.2005 12:52 <DIR>..
05.11.2005 12:52 9430 getpost.html
05.11.2005 12:52 4 381 httplog.text
05.11.2005 12:52 516 image.html
05.11.2005 12:52 9 344 index.html
05.11.2005 12:52 6 254 index.text
05.11.2005 12:52 2 129 400 session_0001.119.hex.html
05.11.2005 12:52 972 286 session_0001.119.hex.text
05.11.2005 12:52 279 154 session_0001.119.html
05.11.2005 12:52 2 029 317 session_0002.119.hex.html
05.11.2005 12:52 926 732 session_0002.119.hex.text
05.11.2005 12:52 266 084 session_0002.119.html











Все, что вам нужно сделать сейчас, это указать в вашем браузере c: и перейти в каталог, в который вы сбросили все выходные данные Chaosreader. Оттуда вы загружаете файл «index.html» в свой браузер и переходите по предоставленным вам ссылкам. Это именно тот тип доказательств, от которого сотруднику некуда деваться. Теперь вы использовали инструмент для эффективного решения ситуации, которая требовала окончательного и визуального доказательства. В этом прелесть инструмента Chaosreader. Это дает вам визуальный и информативный вывод на основе двоичного ввода журнала. Этот инструмент очень полезен, и я определенно рекомендую его всем. Надеюсь, вам понравилась эта статья, и, как всегда, буду рада вашим отзывам. До следующего раза!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023