Dies ist der Befehl nstreams, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
nstreams – ein TCPdump-Ausgabeanalysator
ZUSAMMENFASSUNG
nstreams [ -v ] [ -c nstreams-Dienste ] [ -N nstreams-networks_file ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O Ausgabe [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f tcpdump_file ] [ -l
] [ tcpdump Ausgabe ]
BESCHREIBUNG
nstreams ist ein Dienstprogramm zur Identifizierung der IP-Streams, die in einem Netzwerk auftreten
aus einer nicht benutzerfreundlichen TCPdump-Ausgabe von mehreren Megabyte.
Dies ist besonders nützlich, wenn Sie die Installation einer Firewall planen, dies aber nicht wissen
nstreams, die die Netzwerkbenutzer generieren (http, echtes Audio und mehr ...). nstreams
kann die tcpdump-Ausgabe direkt von stdin oder aus einer Datei lesen. Es kann sogar das erzeugen
Konfigurationsdatei Ihrer Firewall mit der Option -O.
OPTIONAL
-C
Der Pfad zu einer alternativen Nstreams-Dienstdatei. Diese Datei wird zur Identifizierung jedes einzelnen verwendet
Protokoll. Siehe die DIENSTLEISTUNGEN Datei Abschnitt weiter unten auf dieser Handbuchseite.
-N
Der Pfad zu einer alternativen Nstreams-Netzwerkdatei. Diese Datei wird verwendet, um zu identifizieren, welche
Hosts gehören zu welchem Netzwerk. Siehe die Netzwerke Datei Abschnitt weiter unten in diesem Handbuch
-F
Der Pfad zur Datei, aus der Daten gelesen werden sollen. Diese Datei muss mit generiert worden sein
'tcpdump -w Dateiname'.
-l
Hören Sie direkt auf der Schnittstelle zu . Dadurch wird die Verwendung von tcpdump vermieden.
-N gibt die Netzwerknamen anstelle der IP-Adressen des Hosts aus. Das Intra-Netzwerk
Der Verkehr wird nicht angezeigt. Verwenden Sie diese Option zweimal, um die IP-Adresse des Netzwerks anzuzeigen
statt ihrer Namen.
-i Zeigt auch den Intranetzwerkverkehr an (muss mit -N verwendet werden)
-I Zeigt nur den netzwerkinternen Datenverkehr an (muss mit -N verwendet werden)
-r überflüssig sein. Das heißt, dass die gleichen Streams jedes Mal gedruckt werden, wenn sie in erscheinen
Die Müllhalde.
-v Versionsnummer ausgeben und beenden.
-Ö
Ausgabetyp. Mit dieser Option können Sie Ihr Firewall-Startskript generieren. Tun
nstreams -h, um die unterstützten Ausgabetypen anzuzeigen.
-D
Schnittstelle, auf die die Ausgabe angewendet werden soll. Muss mit -O verwendet werden.
-Y Die generierten Firewall-Regeln verweigern alle Pakete, die von kommen
von außen versucht, Verbindungen nach innen herzustellen. Wenn Ihr System nicht funktioniert
irgendetwas, dann ist es sicher, diese Option zu aktivieren.
-u Die unbekannten Streams nicht drucken
-U Gibt nur die unbekannten Streams aus
-B Sendungen und Netzwerke anzeigen
ANWENDUNG
Lassen tcpdump(1) Führen Sie einige Zeit in Ihrem Netzwerk aus (z. B. eine Woche) und speichern Sie die Ausgabe in einem
Datei, indem Sie Folgendes tun:
tcpdump -l -n > Ausgabe
or
tcpdump -w Dateiname
Dann füttern nstreams mit dieser Ausgabedatei und wandelt sie in eine leicht lesbare Datei um
Dies wird Ihnen helfen, effiziente Firewall-Filter zu schreiben. Sie können auch Folgendes tun:
tcpdump -l -n | nstreams
or
nstreams -f Dateiname (wenn Sie tcpdump -w verwendet haben)
SERVICES FILE
Die Dienstdatei enthält die Beschreibung jedes Protokolls sowie deren Namen. Es ist
Syntax ist:
Protokollname:server_port(s)/{udp,tcp}:client_ports(s)
oder :
Protokollname:Typ(en)/icmp:code(s)
Wohingegen :
Protokollname
ist der Name des beschriebenen Protokolls. Dieser Name kann beliebige Zeichen enthalten,
einschließlich Leerzeichen, außer „:“.
server_port(s)
ist der Bereich der vom Server verwendeten Ports. Normalerweise möchten Sie eines definieren
Nur der Server-Port, Sie können jedoch einen beliebigen Bereich eingeben.
ip_protocol
ist das IP-Protokoll, auf dem dieses Protokoll basiert. Akzeptable Werte sind TCP und
UDP
client_port(s)
ist der Bereich der Ports, die der Client verwenden darf. Sie können dies auf einstellen jedem oder, für mehr
Genaue Ergebnisse für Portbereiche wie „1-1024,2048-4096“.
Die Regeln lauten: „First Match, First Take“.
SERVICE FILE BEISPIEL
Mit dieser Syntax würden Sie das SSH-Protokoll wie folgt deklarieren:
ssh-unix:22/tcp:1000-1023
Weil die Unix-Version des SSH-Clients einen privilegierten Port verwendet, um eine Verbindung zum SSH herzustellen
Server, der auf Port 22 lauscht.
NETZWERKE FILE
Die Netzwerkdatei wird zum Definieren von Gruppen und Teilmengen von Hosts (auch als Netzwerke bezeichnet) verwendet.
Dadurch wird eine Redundanz in der Ausgabedatei vermieden. Das Syntaxformat für diese Datei ist:
Netzwerkname: IP/Maske
Während der Netzwerkname beliebig ist, ist die IP die IP des Netzwerks und die
mask ist die CIDR-Netzmaske des Netzwerks. Es gilt die Regel „First Match, First Take“.
NETZWERKE FILE BEISPIEL
Admin:192.168.19.0/29
Whole_subnet:192.168.0.0/16
Internet:0.0.0.0/0
GRENZEN
· nstreams können nur die Ausgabe von „tcpdump -n“ analysieren.
· Auch wenn die Ausgabe von nstreams einfacher zu lesen ist als die von tcpdump, ist sie es doch
immer noch nicht gut lesbar. Verwenden sortieren(1) auf der nstream-Ausgabe, um eine besser lesbare Datei zu erhalten.
· Dieses Programm könnte in Perl geschrieben sein
Nutzen Sie nstreams online über die Dienste von onworks.net
