Etterlog
Описание Etterlog
etterlog — это анализатор логов для файлов логов созданных в ettercap. Программа может работать как с жатыми (созданными с -Lc) так и с несжатыми файлами логов. С этим инструментов вы можете манипулировать бинарными файлами по своему усмотрению и печатать данные различными способами каждый раз, когда вы хотите (по контрасту с предыдущей системой логирования, которая использовалась к дампу одним статическим образом).
Вы сможете скидывать трафик только с одного подключения по вашему выбору, только с одного или более хостов, печатать данные в шестнадцатеричном, ascii, бинарном и другом виде…
ПОДСКАЗКА: Все не-пользовательские сообщения будут напечатаны в stderr (стандартный вывод ошибок), поэтому вы можете сохранить вывод из etterlog следующей командой:
etterlog [опции] файл_лога > файл_вывода
Таким образом, вы можете дампить, например, бинарный файл с ftp соединения если вы печатаете данные в бинарном режиме, без заголовков и отобрав только конкретный ftp сервер как источник коммуникации.
Домашняя страница: http://www.ettercap-project.org
Автор: Gianfranco Costamagna (LocutusOfBorg), Alberto Ornaghi (ALoR), Marco Valleri (NaGA)
Лицензия: GPLv2
Справка по Etterlog
Использование:
etterlog [ОПЦИИ] файл_лога
Общие опции: -a, --analyze анализ лог файла и возврат полезной информации -c, --connections показать таблицу подключений -f, --filter <ЦЕЛЬ> напечатать пакеты только с этой цели -t, --proto <ПРОТОКОЛ> напечатать только этот протокол (по умолчанию это all, т. е. все) -F, --filcon <ПОДКЛ> напечатать пакеты только с этого подключения -s, --only-source напечатать пакеты только с этого источника -d, --only-dest напечатать пакеты только с этого пункта назначения -r, --reverse заменить на противоположную совпадающую цель/подключение -n, --no-headers пропустить информацию заголовков между пакетами -m, --show-mac показать mac адреса в заголовках -k, --color разукрасить вывод -l, --only-local показать только локальные хосты из разобранных информационных файлов -L, --only-remote показать только удалённые хосты из разобранных информационных файлов Опции поиска: -e, --regex <регвыраж> показать только пакеты, которые соответствуют регулярному выражению -u, --user <пользователь> поиск информации о пользователе <пользователь> -p, --passwords напечатать только информацию об аккаунтах -i, --show-client написать адреса клиентов в профилях паролей -I, --client <ip> напечатать переданные формы конкретного клиента Опции редактирования: -C, --concat объединить больше файлов в один файл -o, --outfile <файл> файл используемый для вывода объединения -D, --decode используется для извлечения файлов из соединения Метод визуализации: -B, --binary печатать пакеты как они есть -X, --hex печатать пакеты в шестнадцатеричном режиме -A, --ascii печатать пакеты в режиме ascii (по умолчанию) -T, --text печатать пакеты в текстовом режиме -E, --ebcdic print packets iпечатать пакеты в текстовом режиме ebcdic -H, --html печатать пакеты в текстовом режиме html -U, --utf8 <кодировка> печатать пакеты в uft-8 используя <кодировку> -Z, --zero не печатать пакеты, только заголовки -x, --xml печатать информацию о хосте в формате xml Стандартные опции: -v, --version напечатать версию и выйти -h, --help напечатать сообщение справки
Руководство по Etterlog
ОБЩИЕ ОПЦИИ
-a, --analyze
Анализировать файл лога и отобразить некоторую интересную статистику.
-c, --connections
Разобрать лог файл и напечатать таблицу уникальных подключений (порт к порту). Эта опция может использоваться только на лог файлах LOG_PACKET. На лог файлах LOG_PACKET она бесполезна.
ПОДСКАЗКА: вы можете искать конкретные хосты используя следующую команду:
etterlog -c logfile.ecp | grep 10.0.0.1
-f, --filter <ЦЕЛЬ>
Напечатать только пакеты пришедшие с или уходящие на ЦЕЛЬ. Спецификация ЦЕЛИ такая же, как и в ettercap.
ЦЕЛЬ в формате MAC/IP/ПОРТЫ. С включённой поддержкой IPv6 ЦЕЛЬ в формате MAC/IP/IPv6/ПОРТЫ. Пропуск одной или более её частей будет эквивалентом как установить их в ЛЮБОЙ. IP и IPv6 будут рассматриваться как одна часть поэтому ЦЕЛЬ устанавливается на ЛЮБУЮ только если оба IP и IPv6 пропущены. Это приводит к тому, что результат будет отличаться от того, который ожидают большинство пользователей.
Если типом лог файла является LOG_INFO, то цель используется для отображения соответствующих хостам mac, ip и имеющийся конкретный открытый порт(ы). Например цель //80 покажет только информацию о хостах с запущенным веб-сервером.
-r, --reverse
Поменять на противоположный выбор ЦЕЛИ. Это означает не(ЦЕЛЬ). Всё, кроме выбранной ЦЕЛИ.
-t, --proto <ПРОТОКОЛ>
Прослушивать только пакеты ПРОТОКОЛА (по умолчанию это TCP + UDP). Эта опция полезна только в «простом» режиме. Если вы запустили ettercap в интерактивном режиме, то оба - TCP и UDP — будут прослушиваться.
ПРОТОКОЛ может быть "tcp", "udp" или "all" для обоих.
-F, --filcon <ПОДКЛЮЧЕНИЕ>
Напечатать пакеты принадлежащие только этому ПОДКЛЮЧЕНИЮ.
ПОДКЛЮЧЕНИЕ имеет следующую форму ПРОТОКОЛ:ИСТОЧНИК:ПУНКТ НАЗНАЧЕНИЯ. ИСТОЧНИК и ПУНКТ НАЗНАЧЕНИЯ имеют форму IP:ПОРТ.
пример:
etterlog -F TCP:10.0.0.23:3318:198.182.196.56:80
-s, --only-source
Показать только пакеты, которые отправлены с источника выбранного СОЕДИНЕНИЯ. Эта опция имеет смысл только вместе с опцией -F.
ПОДСКАЗКА: если вы хотите сохранить переданные по HTTP или FTP соединению файл, вы можете использовать следующую команду:
etterlog -B -s -n -F TCP:10.0.0.1:20:10.0.0.2:35426 logfile.ecp > example.tar.gz
-d, --only-dest
То же самое что и --only-source, но только для хоста назначения.
-n, --no-headers
Не печатать заголовки каждого пакета. Эта опция полезна если вы хотите сохранить файл в бинарном формате (опция -B). Без заголовков вы можете перенаправить вывод в файл и вы получите оригинальный поток.
ПРИМЕЧАНИЕ: отметка времени в заголовке имеет формат: Thu Mar 27 23:03:31 2003 [169396], значение в квадратных скобках выражено в микросекундах.
-m, --show-mac
В заголовках показать также mac адреса соответствующие ip адресам.
-k, --color
Она используется в паре с -F, она показывает источник и конечный пункт соединения используя разные цвета. Опция используется с файлом LOG_INFO, она печатает хосты LAN зелёным, УДАЛЁННЫЕ хосты голыбым и ШЛЮЗЫ красным.
-l, --only-local
Используется при показе INFO файла, она отображает информацию только о локальных хостах.
-L, --only-remote
Используется при показе INFO файла, она отображает информацию только об удалённых хостах.
ОПЦИИ ПОИСКА
-e, --regex <РЕГУЛЯРНОЕ ВЫРАЖЕНИЕ>
Показывает пакеты соответствующие регулярному выражению <РЕГУЛЯРНОЕ ВЫРАЖЕНИЕ>.
Если эта опция используется в отношение файла лога LOG_PACKET, регулярное выражение выполняется на данных из пакетов. Если тип файла LOG_INFO, то регулярное выражение выполняется на всех полях профиля хоста (ОС, баннеры, службы и адаптеры локальных сетей).
ПРИМЕЧАНИЕ: регулярные выражения компилируются с флагом REG_ICASE (регистронезависимые).
-u, --user <ПОЛЬЗОВАТЕЛЬ>
Отображает информацию о пользователи. Поиск выполняется по всем парам пользователь/пароль, собранным со всех хостов.
-p, --passwords
Печатает только собранную информацию об аккаунтах для каждого хоста. Это предотвращает огромный вывод профиля. Она может использоваться совместно с опцией -u для фильтрации пользователей. Использование звёздочки '*' перед аккаунтом означает неудачную попытку входа.
-i, --show-client
Показать все клиентские ip адреса когда показываются собранные пользователи и пароли. Она может быть полезной когда на месте списки контроля доступа (ACL).
-I, --client <IP>
Показать пароли только приходящие от конкретного <IP>. Это полезно для просмотра всех имён пользователя и паролей клиента.
ОПЦИИ РЕДАКТИРОВАНИМЯ
-C, --concat
Используйте эту опцию для объединения двух (или более) файлов в один файл. Это полезно если вы имеете собранные файлы логов ettercap из множества источников и хотите иметь единый отчёт. Выводной файл должен быть указан с опцией -o и файлы ввода перечисляются как обычные аргументы.
пример:
etterlog -C -o outfile input1 input2 input3
-o, --outfile <FILE>
Указывает файл вывода для объединения.
МЕТОД ВИЗУАЛИЗАЦИИ
-B, --binary
Печатать данные как они есть, в бинарном виде. Полезно для дампа бинарных данных в файл (как описано выше).
-X, --hex
Печатать пакеты в шестнадцатеричном виде.
пример:
строка "HTTP/1.1 304 Not Modified" станет: 0000: 4854 5450 2f31 2e31 2033 3034 204e 6f74 HTTP/1.1 304 Not 0010: 204d 6f64 6966 6965 64 Modified
-A, --ascii
Печатать только "печатные" символы, другие отображаются как точки '.'
-T, --text
Печатать только "печатные" символы и пропускать остальные.
-E, --ebcdic
Конвертировать текст EBCDIC в ASCII.
-H, --html
Пропустить все html тэги из текста. Тэг — это каждая строка между '<' и '>'.
пример:
<title>Это заголовок</title>, но следующая <строка> не будет отображена. Это заголовок, но следующая не будет отображена.
-U, --utf8 <кодировка>
Печатать пакеты в формате UTF-8. Параметр <кодировка> указывает кодировку для использования во время преобразования. Используйте команду `iconv --list` для получения списка всех поддерживаемых кодировок.
-Z, --zero
Всегда печатать пустую строку, т. е. печатать только информацию заголовков без печати содержимого пакета.
-x, --xml
Печатать информацию о хосте в формате xml, т. е. вы можете парсить её в вашей любимой программе.
Связанная с xml DTD в share/etterlog.dtd
СТАНДАРТНЫЕ ОПЦИИ
-v, --version
Напечатать версию и выйти
-h, --help
Напечатать справку
Примеры запуска Etterlog
Здесь несколько примеров использования etterlog.
etterlog -k -l dump.eci
Показывает информацию о локальных хостах в различных цветах
etterlog -X dump.ecp
Напечатает пакеты в шестнадцатеричном режиме с полными заголовками.
etterlog -c dump.ecp
Покажет список записанных в файл подключений
etterlog -Akn -F TCP:10.0.0.1:13423:213.203.143.52:6666 dump.ecp
Покажет IRC трафик, созданный 10.0.0.1 в режиме ASCII, без информации заголовков и в цветном режиме.
etterlog -H -t tcp -f //80 dump.ecp
Дамп всего HTTP трафика и очищение html тэгов.
etterlog -Z -r -f /10.0.0.2/22 dump.ecp
Показывает только заголовки подключений кроме ssh на хосте 10.0.0.2
etterlog -A -e 'user' -f //110 dump.ecp
Покажет только POP пакеты, содержащие регулярное выражение 'user' (регистронезависимое).
etterlog -u root dump.eci
Показывает информацию о всех аккаунтах пользователя 'root'.
etterlog -e Apache dump.eci
Показывает информацию о всех хостах с запущенным 'Apache'.
etterlog -e Linux dump.eci
Показывает информацию о всех хостах с операционной системой 'Linux'.
etterlog -t tcp -f //110 dump.eci
Показывает информацию о всех хостах с открытым tcp портом 110.
etterlog -t udp dump.eci
Показывает информацию о всех хостах с по крайне мере одним открытым UDP портом.
etterlog -B -s -n -F TCP:10.0.0.1:20:10.0.0.2:35426 logfile.ecp > example.tar.gz
Дамп в бинарной форме данных, отправленных 10.0.0.1 через порт данных FTP. Поскольку заголовки пропущены, вы получите сам отправленный файл.
Установка Etterlog
Эта программа является частью пакета Ettercap — она поставляется вместе с ним. Для получения этой программ достаточно установить Ettercap. Инструкция по установке Ettercap: https://kali.tools/?p=830#install_ettercap
Скриншоты Etterlog
Это утилита командной строки.
Инструкции по Etterlog
Ссылки на инструкции будут добавлены позже.
Comments are Closed