Etterlog

Описание Etterlog

etterlog — это анализатор логов для файлов логов созданных в ettercap. Программа может работать как с жатыми (созданными с -Lc) так и с несжатыми файлами логов. С этим инструментов вы можете манипулировать бинарными файлами по своему усмотрению и печатать данные различными способами каждый раз, когда вы хотите (по контрасту с предыдущей системой логирования, которая использовалась к дампу одним статическим образом).

Вы сможете скидывать трафик только с одного подключения по вашему выбору, только с одного или более хостов, печатать данные в шестнадцатеричном, ascii, бинарном и другом виде…

ПОДСКАЗКА: Все не-пользовательские сообщения будут напечатаны в stderr (стандартный вывод ошибок), поэтому вы можете сохранить вывод из etterlog следующей командой:

etterlog [опции] файл_лога > файл_вывода

Таким образом, вы можете дампить, например, бинарный файл с ftp соединения если вы печатаете данные в бинарном режиме, без заголовков и отобрав только конкретный ftp сервер как источник коммуникации.

Домашняя страница: http://www.ettercap-project.org

Автор: Gianfranco Costamagna (LocutusOfBorg), Alberto Ornaghi (ALoR), Marco Valleri (NaGA)

Лицензия: GPLv2

Справка по Etterlog

Использование:

etterlog [ОПЦИИ] файл_лога

Общие опции:
  -a, --analyze               анализ лог файла и возврат полезной информации
  -c, --connections           показать таблицу подключений
  -f, --filter <ЦЕЛЬ>         напечатать пакеты только с этой цели
  -t, --proto <ПРОТОКОЛ>      напечатать только этот протокол (по умолчанию это all, т. е. все)
  -F, --filcon <ПОДКЛ>        напечатать пакеты только с этого подключения
  -s, --only-source           напечатать пакеты только с этого источника
  -d, --only-dest             напечатать пакеты только с этого пункта назначения
  -r, --reverse               заменить на противоположную совпадающую цель/подключение
  -n, --no-headers            пропустить информацию заголовков между пакетами
  -m, --show-mac              показать mac адреса в заголовках
  -k, --color                 разукрасить вывод
  -l, --only-local            показать только локальные хосты из разобранных информационных файлов
  -L, --only-remote           показать только удалённые хосты из разобранных информационных файлов

Опции поиска:
  -e, --regex <регвыраж>      показать только пакеты, которые соответствуют регулярному выражению
  -u, --user <пользователь>   поиск информации о пользователе <пользователь>
  -p, --passwords             напечатать только информацию об аккаунтах
  -i, --show-client           написать адреса клиентов в профилях паролей
  -I, --client <ip>           напечатать переданные формы конкретного клиента

Опции редактирования:
  -C, --concat                объединить больше файлов в один файл
  -o, --outfile <файл>        файл используемый для вывода объединения
  -D, --decode                используется для извлечения файлов из соединения

Метод визуализации:
  -B, --binary                печатать пакеты как они есть
  -X, --hex                   печатать пакеты в шестнадцатеричном режиме
  -A, --ascii                 печатать пакеты в режиме ascii (по умолчанию)
  -T, --text                  печатать пакеты в текстовом режиме
  -E, --ebcdic                print packets iпечатать пакеты в текстовом режиме ebcdic
  -H, --html                  печатать пакеты в текстовом режиме html
  -U, --utf8 <кодировка>      печатать пакеты в uft-8 используя <кодировку>
  -Z, --zero                  не печатать пакеты, только заголовки
  -x, --xml                   печатать информацию о хосте в формате xml

Стандартные опции:
  -v, --version               напечатать версию и выйти
  -h, --help                  напечатать сообщение справки

Руководство по Etterlog

ОБЩИЕ ОПЦИИ

-a, --analyze

Анализировать файл лога и отобразить некоторую интересную статистику.

-c, --connections

Разобрать лог файл и напечатать таблицу уникальных подключений (порт к порту). Эта опция может использоваться только на лог файлах LOG_PACKET. На лог файлах LOG_PACKET она бесполезна.

ПОДСКАЗКА: вы можете искать конкретные хосты используя следующую команду:

etterlog -c logfile.ecp | grep 10.0.0.1

-f, --filter <ЦЕЛЬ>

Напечатать только пакеты пришедшие с или уходящие на ЦЕЛЬ. Спецификация ЦЕЛИ такая же, как и в ettercap.

ЦЕЛЬ в формате MAC/IP/ПОРТЫ. С включённой поддержкой IPv6 ЦЕЛЬ в формате MAC/IP/IPv6/ПОРТЫ. Пропуск одной или более её частей будет эквивалентом как установить их в ЛЮБОЙ. IP и IPv6 будут рассматриваться как одна часть поэтому ЦЕЛЬ устанавливается на ЛЮБУЮ только если оба IP и IPv6 пропущены. Это приводит к тому, что результат будет отличаться от того, который ожидают большинство пользователей.

Если типом лог файла является LOG_INFO, то цель используется для отображения соответствующих хостам mac, ip и имеющийся конкретный открытый порт(ы). Например цель //80 покажет только информацию о хостах с запущенным веб-сервером.

-r, --reverse

Поменять на противоположный выбор ЦЕЛИ. Это означает не(ЦЕЛЬ). Всё, кроме выбранной ЦЕЛИ.

-t, --proto <ПРОТОКОЛ>

Прослушивать только пакеты ПРОТОКОЛА (по умолчанию это TCP + UDP). Эта опция полезна только в «простом» режиме. Если вы запустили ettercap в интерактивном режиме, то оба - TCP и UDP — будут прослушиваться.

ПРОТОКОЛ может быть "tcp", "udp" или "all" для обоих.

-F, --filcon <ПОДКЛЮЧЕНИЕ>

Напечатать пакеты принадлежащие только этому ПОДКЛЮЧЕНИЮ.

ПОДКЛЮЧЕНИЕ имеет следующую форму ПРОТОКОЛ:ИСТОЧНИК:ПУНКТ НАЗНАЧЕНИЯ. ИСТОЧНИК и ПУНКТ НАЗНАЧЕНИЯ имеют форму IP:ПОРТ.

пример:

etterlog -F TCP:10.0.0.23:3318:198.182.196.56:80

-s, --only-source

Показать только пакеты, которые отправлены с источника выбранного СОЕДИНЕНИЯ. Эта опция имеет смысл только вместе с опцией -F.

ПОДСКАЗКА: если вы хотите сохранить переданные по HTTP или FTP соединению файл, вы можете использовать следующую команду:

etterlog -B -s -n -F TCP:10.0.0.1:20:10.0.0.2:35426 logfile.ecp > example.tar.gz

-d, --only-dest

То же самое что и --only-source, но только для хоста назначения.

-n, --no-headers

Не печатать заголовки каждого пакета. Эта опция полезна если вы хотите сохранить файл в бинарном формате (опция -B). Без заголовков вы можете перенаправить вывод в файл и вы получите оригинальный поток.

ПРИМЕЧАНИЕ: отметка времени в заголовке имеет формат: Thu Mar 27 23:03:31 2003 [169396], значение в квадратных скобках выражено в микросекундах.

-m, --show-mac

В заголовках показать также mac адреса соответствующие ip адресам.

-k, --color

Она используется в паре с -F, она показывает источник и конечный пункт соединения используя разные цвета. Опция используется с файлом LOG_INFO, она печатает хосты LAN зелёным, УДАЛЁННЫЕ хосты голыбым и ШЛЮЗЫ красным.

-l, --only-local

Используется при показе INFO файла, она отображает информацию только о локальных хостах.

-L, --only-remote

Используется при показе INFO файла, она отображает информацию только об удалённых хостах.

ОПЦИИ ПОИСКА

-e, --regex <РЕГУЛЯРНОЕ ВЫРАЖЕНИЕ>

Показывает пакеты соответствующие регулярному выражению <РЕГУЛЯРНОЕ ВЫРАЖЕНИЕ>.

Если эта опция используется в отношение файла лога LOG_PACKET, регулярное выражение выполняется на данных из пакетов. Если тип файла LOG_INFO, то регулярное выражение выполняется на всех полях профиля хоста (ОС, баннеры, службы и адаптеры локальных сетей).

ПРИМЕЧАНИЕ: регулярные выражения компилируются с флагом REG_ICASE (регистронезависимые).

-u, --user <ПОЛЬЗОВАТЕЛЬ>

Отображает информацию о пользователи. Поиск выполняется по всем парам пользователь/пароль, собранным со всех хостов.

-p, --passwords

Печатает только собранную информацию об аккаунтах для каждого хоста. Это предотвращает огромный вывод профиля. Она может использоваться совместно с опцией -u для фильтрации пользователей. Использование звёздочки '*' перед аккаунтом означает неудачную попытку входа.

-i, --show-client

Показать все клиентские ip адреса когда показываются собранные пользователи и пароли. Она может быть полезной когда на месте списки контроля доступа (ACL).

-I, --client <IP>

Показать пароли только приходящие от конкретного <IP>. Это полезно для просмотра всех имён пользователя и паролей клиента.

ОПЦИИ РЕДАКТИРОВАНИМЯ

-C, --concat

Используйте эту опцию для объединения двух (или более) файлов в один файл. Это полезно если вы имеете собранные файлы логов ettercap из множества источников и хотите иметь единый отчёт. Выводной файл должен быть указан с опцией -o и файлы ввода перечисляются как обычные аргументы.

пример:

etterlog -C -o outfile input1 input2 input3

-o, --outfile <FILE>

Указывает файл вывода для объединения.

МЕТОД ВИЗУАЛИЗАЦИИ

-B, --binary

Печатать данные как они есть, в бинарном виде. Полезно для дампа бинарных данных в файл (как описано выше).

-X, --hex

Печатать пакеты в шестнадцатеричном виде.

пример:

              строка  "HTTP/1.1 304 Not Modified"  станет:

              0000: 4854 5450 2f31 2e31 2033 3034 204e 6f74  HTTP/1.1 304 Not
              0010: 204d 6f64 6966 6965 64                    Modified

-A, --ascii

Печатать только "печатные" символы, другие отображаются как точки '.'

-T, --text

Печатать только "печатные" символы и пропускать остальные.

-E, --ebcdic

Конвертировать текст EBCDIC в ASCII.

-H, --html

Пропустить все html тэги из текста. Тэг — это каждая строка между '<' и '>'.

пример:

<title>Это заголовок</title>, но следующая <строка> не будет отображена.

Это заголовок, но следующая не будет отображена.

-U, --utf8 <кодировка>

Печатать пакеты в формате UTF-8. Параметр <кодировка> указывает кодировку для использования во время преобразования. Используйте команду `iconv --list` для получения списка всех поддерживаемых кодировок.

-Z, --zero

Всегда печатать пустую строку, т. е. печатать только информацию заголовков без печати содержимого пакета.

-x, --xml

Печатать информацию о хосте в формате xml, т. е. вы можете парсить её в вашей любимой программе.

Связанная с xml DTD в share/etterlog.dtd

СТАНДАРТНЫЕ ОПЦИИ

-v, --version

Напечатать версию и выйти

-h, --help

Напечатать справку

Примеры запуска Etterlog

Здесь несколько примеров использования etterlog.

etterlog -k -l dump.eci

Показывает информацию о локальных хостах в различных цветах

etterlog -X dump.ecp

Напечатает пакеты в шестнадцатеричном режиме с полными заголовками.

etterlog -c dump.ecp

Покажет список записанных в файл подключений

etterlog -Akn -F TCP:10.0.0.1:13423:213.203.143.52:6666 dump.ecp

Покажет IRC трафик, созданный 10.0.0.1 в режиме ASCII, без информации заголовков и в цветном режиме.

etterlog -H -t tcp -f //80 dump.ecp

Дамп всего HTTP трафика и очищение html тэгов.

etterlog -Z -r -f /10.0.0.2/22 dump.ecp

Показывает только заголовки подключений кроме ssh на хосте 10.0.0.2

etterlog -A -e 'user' -f //110 dump.ecp

Покажет только POP пакеты, содержащие регулярное выражение 'user' (регистронезависимое).

etterlog -u root dump.eci

Показывает информацию о всех аккаунтах пользователя 'root'.

etterlog -e Apache dump.eci

Показывает информацию о всех хостах с запущенным 'Apache'.

etterlog -e Linux dump.eci

Показывает информацию о всех хостах с операционной системой 'Linux'.

etterlog -t tcp -f //110 dump.eci

Показывает информацию о всех хостах с открытым tcp портом 110.

etterlog -t udp dump.eci

Показывает информацию о всех хостах с по крайне мере одним открытым UDP портом.

etterlog -B -s -n -F TCP:10.0.0.1:20:10.0.0.2:35426 logfile.ecp > example.tar.gz

Дамп в бинарной форме данных, отправленных 10.0.0.1 через порт данных FTP. Поскольку заголовки пропущены, вы получите сам отправленный файл.

Установка Etterlog

Эта программа является частью пакета Ettercap — она поставляется вместе с ним. Для получения этой программ достаточно установить Ettercap. Инструкция по установке Ettercap: https://kali.tools/?p=830#install_ettercap

Скриншоты Etterlog

Это утилита командной строки.

Инструкции по Etterlog

Ссылки на инструкции будут добавлены позже.