Il s'agit de la commande nstreams qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
nstreams - un analyseur de sortie tcpdump
SYNOPSIS
nstreams [ -v ] [ -c services nstreams ] [ -n nstreams-networks_file ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O sortie [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f fichier_tcpdump ] [ -l
] [ tcpdump sortie ]
DESCRIPTION
nstreams est un utilitaire conçu pour identifier les flux IP qui se produisent sur un réseau
à partir d'une sortie tcpdump non conviviale de plusieurs mégaoctets.
Ceci est particulièrement utile lorsque vous envisagez d'installer un pare-feu mais si vous ne connaissez pas le
nstreams que les utilisateurs du réseau génèrent (http, real audio, et plus...). nstreams
peut lire la sortie de tcpdump directement depuis stdin ou depuis un fichier. Il peut même générer le
fichier de configuration de votre pare-feu, en utilisant l'option -O.
OPTIONS
-c
Chemin d'accès à un autre fichier de service nstreams. Ce fichier est utilisé pour identifier chaque
protocole. Voir le intégrés filet section plus loin dans cette page de manuel.
-n
Le chemin d'accès à un autre fichier réseau nstreams. Ce fichier est utilisé pour identifier les
les hôtes appartiennent à quel réseau. Voir le réseaux filet section plus loin dans ce manuel
.
-F
Le chemin d'accès au fichier à partir duquel lire les données. Ce fichier doit avoir été généré en utilisant
'tcpdump -w nom de fichier'.
-l
Écoutez directement sur l'interface . Cela évite l'utilisation de tcpdump.
-N affiche les noms des réseaux au lieu des adresses IP des hôtes. L'intra-réseau
le trafic ne sera pas affiché. Utilisez cette option deux fois pour afficher l'adresse IP du réseau
au lieu de leurs noms.
-i Affiche également le trafic intra-réseau (doit être utilisé avec -N)
-I Afficher uniquement le trafic intra-réseau (doit être utilisé avec -N)
-r être redondant. C'est-à-dire que les mêmes flux seront imprimés chaque fois qu'ils apparaissent dans
la déchetterie.
-v affiche le numéro de version et quitte.
-O
le type de sortie. Vous pouvez utiliser cette option pour générer votre script de démarrage de pare-feu. Faire
nstreams -h pour voir les types de sortie pris en charge.
-RÉ
interface à appliquer à la sortie. Doit être utilisé avec -O.
-Y Les règles de pare-feu qui seront générées refuseront tous les paquets provenant du
l'extérieur essayant d'établir des connexions avec l'intérieur. Si votre système ne sert pas
quoi que ce soit, vous pouvez activer cette option en toute sécurité.
-u Ne pas imprimer les flux inconnus
-U n'imprime que les flux inconnus
-B Afficher les émissions et les réseaux
UTILISATION
Laisser nous tcpdump(1) exécuter un certain temps sur votre réseau (comme une semaine), et enregistrer sa sortie dans un
fichier, en faisant :
tcpdump -l -n > sortie
or
tcpdump -w nom de fichier
Ensuite, nourrissez nstreams avec ce fichier de sortie, et il le transformera en un fichier facilement lisible
qui vous aidera à écrire des filtres de pare-feu efficaces. Vous pouvez également faire :
tcpdump -l -n | nstreams
or
nstreams -f nom de fichier (si vous avez utilisé tcpdump -w)
LES SERVICES DOSSIER
Le fichier de service contient la description de chaque protocole, ainsi que leur nom. Son
la syntaxe est :
nom_protocole:port(s)_serveur/{udp,tcp}:ports_client(s)
ou :
nom_protocole:type(s)/icmp:code(s)
Tandis que :
nom_protocole
est le nom du protocole décrit. Ce nom peut contenir n'importe quel caractère,
y compris l'espace, sauf ':'.
port_serveur(s)
est la plage de ports utilisée par le serveur. Habituellement, vous voudrez en définir un
port du serveur uniquement, mais vous pouvez entrer n'importe quelle plage que vous voulez.
protocole_ip
est le protocole IP sur lequel repose ce protocole. Les valeurs acceptables sont tcp ainsi que
udp
port(s) client(s)
est la plage de ports que le client peut utiliser. Vous pouvez définir ceci sur tous ou, pour plus
des résultats précis, aux plages de ports, comme '1-1024,2048-4096'.
Les règles sont : 'premier match, premier pris'.
SERVICE DOSSIER EXEMPLE
En utilisant cette syntaxe, vous déclareriez le protocole ssh par :
ssh-unix:22/tcp:1000-1023
Parce que la version Unix du client ssh utilise un port privilégié pour se connecter au ssh
serveur qui écoute sur le port 22.
LES NETWORKS DOSSIER
Le fichier de réseaux est utilisé pour définir des ensembles et des sous-ensembles d'hôtes (également appelés réseaux).
Cela évite la redondance dans le fichier de sortie. Le format de syntaxe de ce fichier est :
nom du réseau : ip/masque
Alors que le nom du réseau est ce que vous voulez, l'IP est l'IP du réseau, et le
mask est le masque de réseau CIDR du réseau. La règle est « premier match, premier pris ».
NETWORKS DOSSIER EXEMPLE
administrateur : 192.168.19.0/29
sous-réseau_entier : 192.168.0.0/16
Internet : 0.0.0.0/0
LIMITES
· nstreams ne peut analyser que la sortie de 'tcpdump -n'
· Même si la sortie de nstreams est plus facile à lire que celle de tcpdump, il est
toujours pas facilement lisible. Utilisation sort(1) sur la sortie nstream pour obtenir un fichier plus lisible.
· Ce programme aurait pu être écrit en perl
Utiliser nstreams en ligne à l'aide des services onworks.net
