Chaosreader: snoop的新生命

freedemon

chaosreader: snoop的新生命\r\n\r\n\r\n在Solaris系统下，有一个系统内置的网络数据分析和诊断工具snoop，可以抓取以太网中的\r\n数据包进行分析，功能和大名鼎鼎的Tcpdump与Sniffer Pro类似。snoop早在SunOS 4.x\r\n开始就作为SunOS系统的内置命令存在，可惜Unix世界中有优秀的Tcpdump和Ethereal存在\r\n加上Snoop本身的功能比较简单，所以Snoop只能在Solaris的世界中屈居一隅，而且大家对\r\n他也所用甚少，所幸不久前偶竟然发现一个如此强大的Snoop数据分析工具:Chaosreader，\r\n顿然发觉snoop也有了新活力。\r\n\r\n先简单回顾一下snoop的命令参数和用法。\r\n\r\nsnoop本身能够运行在以太网环境下的solaris系统中，然后依靠网卡的混杂模式从网络中读\r\n取流过的所有数据包，当然，这依赖于网络必须是共享式以太网(使用Hub)，或者在Switch上\r\n配置SPAN功能把所有流量镜像到snoop所运行的机器。如果网络是运行在除以上两者之外的交\r\n换网络上的话，那么snoop只能够获取到广播数据，以及发往主机自身的数据。\r\nsnoop本身支持以太网帧(ethernet frame)，TCP|UDP/IP协议，以及之上的一些应用层协\r\n议，例如X,RPC,NFS。大家都知道，作为一个优秀的网络分析工具，必须具备良好的宏观和微\r\n观两方面的分析能力，而Sniffer类的工具，则更突出在他的微观-数据解析和分析能力方面，\r\n这就依赖于工具所能够理解和解析的网络协议(应用协议)类型数量，比如作为网络分析工具无\r\n冕之王的Ethereal就能够理解超过六百种不同的网络协议。这方面恰恰是snoop的劣势所在，\r\n所以传统的snoop仅仅是作为简单的sniffer类工具来使用的，chaosreader恰恰弥补了snoop\r\n在这方面的缺点，同时在Session分析和数据可视化重现方面大大加强了它的功能。\r\n\r\nChaosreader主页:\r\nhttp://users.tpg.com.au/bdgcvb/chaosreader.html\r\n\r\n下载地址：\r\nhttp://users.tpg.com.au/bdgcvb/chaosreader\r\n\r\n\r\n.

freedemon

现在对Snoop应该有个基本了解了吧，不过要使用...还是非常困难的，幸好现在有了\r\nChaosreader。\r\n\r\nChaosreader是一个Snoop数据输出的分析工具，完全Perl写成，因此可以运行在所有支持\r\nPerl的操作系统上。Chaosreader能够支持对TCP/UDP/HTTP/FTP...等等一系列协议的跟\r\n踪和Session解析，甚至能够解析出ftp和http传输的文件，跟踪X-window的动作，对Telnet\r\n的数据进行回放等等。有了Chaosreader，就相当于在Snoop之上加了一双明亮的眼睛，非常\r\n方便。\r\nChaosreader支持有Tcpdump、snoop和Ethereal输出的数据包记录文件，自动解析之后\r\n会生成一系列文件，包含HTML格式的数据输出文件，协议传输中的图形附件，以及一些用于\r\n进行协议回放的perl脚本。\r\n\r\n要使用Chaosreader，有下面几种快捷方法：\r\n\r\ntcpdump -w outfile\r\nsnoop -o outfile\r\nethereal (或tethereal)保存cap数据\r\n\r\n之后，适用chaosreader.pl outfile对文件进行分析处理，完成后即可在当前目录下生成\r\n一系列输出文件，可以使用任何一个Web浏览器打开index.html进行查看。\r\n\r\n如果直接执行 chaosreader -s 5; netscape index.html ，那么chaosreader将自动\r\n运行当前系统中可用的sniffer类程序(自动搜索snoop或tcpdump)，然后生成分析文件。\r\n-s参数指定一定时间的抓取时间，以分钟为单位。\r\n\r\n在每次分析中，Chaosreader可能会生成如下文件：\r\n    index.html                  Html index (本次抓包统计信息)\r\n    index.text                  Text index \r\n    index.file                  File index for standalone redo mode\r\n    image.html                  HTML report of images\r\n    getpost.html                HTML report of HTTP GET/POST requests\r\n    session_0001.info           TCP session #1的相关信息(如果有抓包过程中\r\n                                包含多个TCP Session，则每个Session都会生\r\n                                成一系列的Session文件)\r\n    session_0001.telnet.html    按时间顺序存放的html格式telnet数据\r\n    session_0001.telnet.raw     按时间顺序存档的telnet session数据\r\n    session_0001.telnet.raw1    server->;client的telnet数据\r\n    session_0001.telnet.raw2    client->;server的telnet数据\r\n    session_0002.web.html       按请求顺序存放的HTTP Session数据\r\n    session_0002.part_01.html   HTTP portion of the above, a HTML file\r\n    session_0003.web.html       HTML coloured 2-way\r\n    session_0003.part_01.jpeg   HTTP portion of the above, a JPEG file\r\n    session_0004.web.html       HTML coloured 2-way\r\n    session_0004.part_01.gif    HTTP portion of the above, a GIF file\r\n    session_0005.part_01.ftp-data.gz    如果是ftp session，则传输数据存放\r\n                                        在此文件中\r\n    ...\r\n总结所有的文件类型如下：\r\n    session_*           TCP Sessions\r\n    stream_*            UDP Streams\r\n    icmp_*              ICMP 数据包\r\n    index.html          HTML Index 文件 \r\n    index.text          Text Index 文件\r\n    index.file          File Index for standalone redo mode only\r\n    image.html          HTML report of images\r\n    getpost.html        HTTP GET/POST 请求记录\r\n    *.info              Session/Stream的描述信息\r\n    *.raw               按时间顺序排列的C<->;S二路原始数据\r\n    *.raw1              server->;client的原始数据\r\n    *.raw2              client->;server的原始数据\r\n    *.replay            Session回放程序，perl脚本，执行将在终端上模拟任务\r\n                        发生时的状况\r\n    *.partial.*         Partial capture (tcpdump/snoop were aware of drops)\r\n    *.hex.html          2-way Hex dump, rendered in coloured HTML\r\n    *.hex.text          2-way Hex dump in plain text\r\n    *.X11.replay        X-Window回放脚本，必须运行在X-Window下\r\n    *.textX11.replay    X11通讯的文本模拟回放程序\r\n    *.textX11.html      2-way text report, rendered in red/blue HTML\r\n    *.keydata           SSH通讯中的密钥中继传输数据\r\n\r\n.

freedemon

贴一个chaosreader回放X-Window Session: xeye的镜头：\r\n\r\n\r\n\r\n.