Este es el comando nstreams que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
nstreams: un analizador de salida tcpdump
SINOPSIS
nstreams [-v] [-c nstreams-servicios ] [-n nstreams-networks_file ] [-N [-i] [-I]]
[-r] [-O salida [-D iface] [-Y]] [-u] [-U] [-B] [-f tcpdump_archivo ] [ -l
] [ tcpdump salida ]
DESCRIPCIÓN
nstreams es una utilidad diseñada para identificar los flujos de IP que se producen en una red
a partir de una salida tcpdump no fácil de usar de varios megabytes.
Esto es especialmente útil cuando planea instalar un firewall pero si no conoce el
nstreams que los usuarios de la red están generando (http, audio real, y más ...). nstreams
puede leer la salida de tcpdump directamente desde stdin, o desde un archivo. Incluso puede generar el
archivo de configuración de su firewall, usando la opción -O.
CAMPUS
-C
La ruta a un archivo de servicio nstreams alternativo. Este archivo se utiliza para identificar cada
protocolo. Ver el xDSL presentar sección más adelante en esta página de manual.
-norte
La ruta a un archivo de red alternativo de nstreams. Este archivo se utiliza para identificar qué
los hosts pertenecen a qué red. Ver el telecomunicaciones presentar sección más adelante en este manual
.
-F
La ruta al archivo para leer los datos. Este archivo debe haber sido generado usando
'tcpdump -w nombre de archivo'.
-l
Escuche directamente en la interfaz . Esto evita el uso de tcpdump.
-N imprime los nombres de las redes en lugar de las direcciones IP de los hosts. La intrarred
no se mostrará el tráfico. Utilice esta opción dos veces para mostrar la dirección IP de la red.
en lugar de sus nombres.
-i también muestra el tráfico dentro de la red (debe usarse con -N)
-Sólo muestro el tráfico intra-red (debe usarse con -N)
-r sea redundante. Es decir, se imprimirán las mismas secuencias cada vez que aparezcan en
El vertedero.
-v imprime el número de versión y sale.
-O
Tipo de salida. Puede utilizar esta opción para generar la secuencia de comandos de inicio de su firewall. Hacer
nstreams -h para ver los tipos de salida admitidos.
-D
interfaz para aplicar a la salida. Debe usarse con -O.
-Y Las reglas de firewall que se generarán negarán todos los paquetes provenientes del
afuera tratando de establecer conexiones con el interior. Si su sistema no está sirviendo
cualquier cosa, entonces es seguro activar esta opción.
-u No imprima las secuencias desconocidas
-U Solo imprime las transmisiones desconocidas
-B Mostrar retransmisiones y redes
USO
Asegúrate de que tcpdump(1) ejecute algún tiempo en su red (como una semana) y guarde su salida en un
archivo, haciendo:
tcpdump -l -n> salida
or
tcpdump -w nombre de archivo
Entonces, alimenta nstreams con este archivo de salida, y lo convertirá en un archivo de fácil lectura
lo que le ayudará a escribir filtros de cortafuegos eficientes. También puede hacer:
tcpdump-l-n | nstreams
or
nstreams -f nombre de archivo (si usó tcpdump -w)
EL REINO UNIDO SERVICIOS ARCHIVO
El archivo de servicio contiene la descripción de cada protocolo, así como su nombre. Su
la sintaxis es:
nombre_protocolo: puerto (s) del_servidor / {udp, tcp}: puertos_cliente (s)
o:
nombre_protocolo: tipo (s) / icmp: código (s)
Mientras que :
nombre_protocolo
es el nombre del protocolo descrito. Este nombre puede contener cualquier carácter,
incluido el espacio, excepto ':'.
servidor_puerto (s)
es el rango de puertos que utiliza el servidor. Por lo general, querrá definir uno
puerto del servidor solamente, pero puede ingresar el rango que desee.
protocolo_ip
es el protocolo IP en el que se basa este protocolo. Los valores aceptables son tcp y
udp
puerto (s) cliente
es el rango de puertos que puede utilizar el cliente. Puede configurar esto para cualquier o, por más
resultados precisos, a rangos de puertos, como '1-1024,2048-4096'.
Las reglas son: 'primer partido, primero tomado'.
SERVICIO ARCHIVO EJEMPLO
Con esta sintaxis, declararía el protocolo ssh de la siguiente manera:
ssh-unix: 22 / tcp: 1000-1023
Debido a que la versión Unix del cliente ssh usa un puerto privilegiado para conectarse al ssh
servidor que escucha en el puerto 22.
EL REINO UNIDO NETWORKS ARCHIVO
El archivo de redes se utiliza para definir conjuntos y subconjuntos de hosts (también conocidos como redes).
Esto evita la redundancia en el archivo de salida. El formato de sintaxis de este archivo es:
nombre de red: ip / máscara
Mientras que el nombre de la red es el que desee, la IP es la IP de la red y la
mask es la máscara de red CIDR de la red. La regla es 'primer partido, primero tomado'.
NETWORKS ARCHIVO EJEMPLO
administración: 192.168.19.0/29
subred_completa: 192.168.0.0/16
Internet: 0.0.0.0/0
LÍMITES
· Nstreams solo puede analizar la salida de 'tcpdump -n'
· Aunque la salida de nstreams es más fácil de leer que la de tcpdump, es
todavía no es fácil de leer. Usar sort(1) en la salida nstream para obtener un archivo más legible.
· Este programa podría haber sido escrito en perl
Utilice nstreams en línea utilizando los servicios de onworks.net
