Questo è il comando nstreams che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
nstreams - un analizzatore di output tcpdump
SINOSSI
nstream [-v] [-c nstreams-servizi ] [ -N nstreams-networks_file ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O uscita [ -D ifaccia ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f tcpdump_file ] [ -l
] [ tcpdump produzione ]
DESCRIZIONE
nstream è un'utilità progettata per identificare i flussi IP che si verificano su una rete
da un output tcpdump non facile da usare di diversi megabyte.
Ciò è particolarmente utile quando si prevede di installare un firewall ma se non si conosce il
nstream generati dagli utenti della rete (http, audio reale e altro...). nstream
può leggere l'output di tcpdump direttamente da stdin o da un file. Può anche generare il
file di configurazione del firewall, utilizzando l'opzione -O.
VERSIONI
-C
Il percorso di un file di servizio nstreams alternativo. Questo file viene utilizzato per identificare ciascuno
protocollo. Vedi il servizi filetto sezione più avanti in questa pagina di manuale.
-n
Il percorso di un file di rete nstreams alternativo. Questo file viene utilizzato per identificare quale
gli host appartengono a quale rete. Vedi il reti filetto sezione più avanti in questo manuale
.
-F
Il percorso del file da cui leggere i dati. Questo file deve essere stato generato utilizzando
'tcpdump -w nomefile'.
-l
Ascolta direttamente sull'interfaccia . Questo evita l'uso di tcpdump.
-N stampa i nomi delle reti invece degli indirizzi IP degli host. L'intra-rete
il traffico non verrà mostrato. Usa questa opzione due volte per mostrare l'indirizzo IP della rete
invece dei loro nomi.
-i Mostra anche il traffico intra-rete (deve essere usato con -N)
-I Mostra solo il traffico intra-rete (deve essere utilizzato con -N)
-r essere ridondante. Cioè, gli stessi flussi verranno stampati ogni volta che appaiono in
la discarica.
-v stampa il numero della versione ed esce.
-O
tipo di uscita. È possibile utilizzare questa opzione per generare lo script di avvio del firewall. Fare
nstreams -h per vedere i tipi di output supportati.
-D
interfaccia da applicare all'output su. Deve essere utilizzato con -O.
-Y Le regole del firewall che verranno generate rifiuteranno tutti i pacchetti provenienti dal
esterno cercando di stabilire connessioni con l'interno. Se il tuo sistema non sta servendo
qualsiasi cosa, allora è sicuro attivare questa opzione.
-u Non stampa i flussi sconosciuti
-U Stampa solo i flussi sconosciuti
-B Mostra trasmissioni e reti
USO
lasciare tcpdump(1) esegui un po' di tempo sulla tua rete (come una settimana) e salva il suo output in a
file, facendo:
tcpdump -l -n > output
or
tcpdump -w nomefile
Quindi, dai da mangiare nstream con questo file di output e lo trasformerà in un file facilmente leggibile
che ti aiuterà a scrivere filtri firewall efficienti. Puoi anche fare:
tcpdump -l -n | nstream
or
nstreams -f nome file (se hai usato tcpdump -w)
LA SERVIZI RISORSE
Il file di servizio contiene la descrizione di ciascun protocollo, nonché il loro nome. Suo
la sintassi è:
nome_protocollo:porta(e)_server/{udp,tcp}:porta(e)_client
o :
nome_protocollo:tipo/i/icmp:codice/i
Invece :
nome_protocollo
è il nome del protocollo descritto. Questo nome può contenere qualsiasi carattere,
compreso lo spazio, eccetto ':'.
porta_server
è l'intervallo di porte utilizzate dal server. Di solito, vorrai definirne uno
solo la porta del server, ma puoi inserire qualsiasi intervallo desideri.
protocollo_ip
è il protocollo IP su cui si trova questo protocollo. I valori accettabili sono tcp ed
udp
porta_client
è l'intervallo di porte che il client può utilizzare. Puoi impostarlo su in qualsiasi o, per di più
risultati accurati, agli intervalli di porte, come '1-1024,2048-4096'.
Le regole sono: 'prima partita, prima presa'.
SERVIZIO RISORSE ESEMPIO
Usando questa sintassi, dichiareresti il protocollo ssh con:
ssh-unix:22/tcp:1000-1023
Poiché la versione Unix del client ssh utilizza una porta privilegiata per connettersi a ssh
server che ascolta sulla porta 22.
LA NETWORKS RISORSE
Il file delle reti viene utilizzato per definire insiemi e sottoinsiemi di host (noti anche come reti).
Ciò evita la ridondanza nel file di output. Il formato della sintassi per questo file è:
nome rete: ip/maschera
Mentre il nome della rete è quello che vuoi, l'IP è l'ip della rete e il
mask è la netmask CIDR della rete. La regola è "prima partita, prima presa".
NETWORKS RISORSE ESEMPIO
amministrazione:192.168.19.0/29
total_subnet:192.168.0.0/16
internet:0.0.0.0/0
LIMITI
· nstream può analizzare solo l'output di 'tcpdump -n'
· Anche se l'output di nstreams è più facile da leggere rispetto a quello di tcpdump, lo è
ancora non facilmente leggibile. Utilizzo sorta(1) sull'output di nstream per ottenere un file più leggibile.
· Questo programma potrebbe essere stato scritto in perl
Utilizzare nstream online utilizzando i servizi onworks.net