chaosreader

  • スニッフあるいはキャプチャしたファイルを解析しレポートしてくれるperlスクリプト.開発は2004年頃から行われていないらしい.
  • HTTP,SMTP,FTP,telnet,SSH,VNC,IRC,X11他の多数のプロトコルを解析する能力がある.
  • tcpdumpによるキャプチャ(pcap)形式以外にも作者がSolarisユーザーだからか,snoopによるキャプチャにも対応している.
  • HTTP解析モードでは,画像ファイルの抽出,URLのsquidと同じ形式でのファイル化が可能.
    • content-lengthを理解し,通信時間やバイト数の出力が出来るのでsrg,sargなどのsquidのログを解析するプログラムに処理させれば,プロキシサーバーと同じ形式でゲートウェイを通過するHTTP通信を把握できる.
    • ただし,URLのホスト部はHTTPヘッダのHost:から抽出したものではなくIPアドレスになっている.
  • 通信速度の計算部分に0で割り算する可能性がある個所がある.$durationの値は1パケットで通信が終わっている場合に0になってしまう.
*** chaosreader0.94     Sun Jul  4 23:05:31 2004
--- chaosreader  Wed Jul 14 03:34:18 2004
***************
*** 4028,4034 ****
           ### This causes the replay program to pause
           print REPLAY "ms($timediff1);\n";
        }
!       $speed = sprintf("%.2f",$bytes / (1024 * $duration));
        print REPLAY "print \"\n\n" .
         "Summary: $duration2 seconds, $bytes bytes, $speed Kb/sec\\n\";";
        close REPLAY;
--- 4028,4034 ----
           ### This causes the replay program to pause
           print REPLAY "ms($timediff1);\n";
        }
!       $speed = sprintf("%.2f",$bytes / ( (1024 * $duration) + 1 ) );
        print REPLAY "print \"\n\n" .
         "Summary: $duration2 seconds, $bytes bytes, $speed Kb/sec\\n\";";
        close REPLAY;

ポート36354(?)

  • 27日18時頃から
  • 900パケット,140アドレス/時程度
  • ターゲット末尾は201(1アドレス)
  • イスラエル,フランス,中国,アルゼンチン,ブラジル,ポーランド,スペイン,トルコ等が多くあまり偏りはない.
  • ISC