זהו הפקודה nstreams שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
nstreams - מנתח פלט tcpdump
תַקצִיר
nstreams [ -v ] [ -c שירותי nstreams ] [ -נ nstreams-networks_file ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O פלט [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f tcpdump_file ] [ -l
] [ tcpdump תפוקה ]
תיאור
nstreams הוא כלי שנועד לזהות את זרמי ה-IP המתרחשים ברשת
מפלט tcpdump לא ידידותי למשתמש של מספר מגה-בייט.
זה שימושי במיוחד כאשר אתה מתכנן להתקין חומת אש אך אם אינך יודע את ה
nstreams שמשתמשי הרשת מייצרים (http, אודיו אמיתי ועוד...). nstreams
יכול לקרוא את הפלט של tcpdump ישירות מ-stdin, או מקובץ. זה אפילו יכול ליצור את
קובץ התצורה של חומת האש שלך, באמצעות אפשרות -O.
אפשרויות
-ג
הנתיב לקובץ שירות nstreams חלופי. קובץ זה משמש לזיהוי כל אחד מהם
נוהל. ראה את שירותינו פילה סעיף מאוחר יותר בדף המדריך הזה.
-נ
הנתיב לקובץ רשת nstreams חלופי. קובץ זה משמש כדי לזהות איזה
מארחים שייכים לאיזו רשת. ראה את רשתות פילה סעיף בהמשך מדריך זה
עמוד.
-ו
הנתיב לקובץ שממנו יש לקרוא נתונים. קובץ זה חייב להיות נוצר באמצעות
'tcpdump -w filename'.
-ל
האזן ישירות בממשק . זה ימנע את השימוש ב-tcpdump.
-N הדפס את שמות הרשתות במקום כתובות ה-IP של המארחים. הרשת התוך
תנועה לא תוצג. השתמש באפשרות זו פעמיים כדי להציג את כתובת ה-IP של הרשת
במקום השמות שלהם.
-i הצג גם את התעבורה בתוך הרשת (יש להשתמש עם -N)
-אני מציג רק את התעבורה בתוך הרשת (יש להשתמש עם -N)
-ר להיות מיותר. כלומר, אותם זרמים יודפסו בכל פעם שהם מופיעים ב
המזבלה.
-v הדפס מספר גרסה ויציאה.
-או
סוג פלט. אתה יכול להשתמש באפשרות זו כדי ליצור את סקריפט האתחול של חומת האש שלך. לַעֲשׂוֹת
nstreams -h כדי לראות את סוגי הפלט הנתמכים.
-ד
ממשק ליישום על פלט. יש להשתמש עם -O.
-Y כללי חומת האש שייווצרו ימנעו את כל החבילות המגיעות מה-
מבחוץ מנסה ליצור קשרים אל הפנים. אם המערכת שלך לא משרתת
כל דבר, אז זה בטוח להפעיל את האפשרות הזו.
-u אל תדפיס את הזרמים הלא ידועים
-U להדפיס רק את הזרמים הלא ידועים
-B הצג שידורים ורשתות
נוהג
לתת tcpdump(1) הפעל קצת זמן ברשת שלך (כמו שבוע), ושמור את הפלט שלה ב-a
קובץ, על ידי ביצוע:
tcpdump -l -n > פלט
or
שם הקובץ tcpdump -w
לאחר מכן, להאכיל nstreams עם קובץ הפלט הזה, והוא יהפוך אותו לקובץ קל לקריאה
שיעזור לך לכתוב מסנני חומת אש יעילים. אתה יכול גם לעשות:
tcpdump -l -n | nstreams
or
שם הקובץ nstreams -f (אם השתמשת ב-tcpdump -w)
LA שירותים קובץ
קובץ השירות מכיל את התיאור של כל פרוטוקול, כמו גם את שמו. שֶׁלָה
תחביר הוא:
protocol_name:server_port(s)/{udp,tcp}:client_ports(s)
זהב :
protocol_name:type(s)/icmp:code(s)
ואילו :
protocol_name
הוא שם הפרוטוקול המתואר. שם זה עשוי להכיל כל תו,
כולל רווח, למעט ':'.
יציאת_שרת(ים)
הוא טווח היציאות המשמש את השרת. בדרך כלל, תרצה להגדיר אחד
יציאת שרת בלבד, אך תוכל להזין כל טווח שתרצה.
ip_protocol
הוא פרוטוקול ה-IP שהפרוטוקול הזה שוכב עליו. ערכים מקובלים הם TCP ו
UDP
client_port(s)
הוא טווח היציאות שהלקוח עשוי להשתמש בהן. אתה יכול להגדיר את זה ל כל או, לעוד
תוצאות מדויקות, לטווחי יציאות, כמו '1-1024,2048-4096'.
הכללים הם: 'התאמה ראשונה, נלקחה ראשונה'.
שֵׁרוּת קובץ דוגמא
באמצעות תחביר זה, תכריז על פרוטוקול ssh על ידי:
ssh-unix:22/tcp:1000-1023
מכיוון שגרסת ה-Unix של לקוח ssh משתמשת ביציאה מועדפת כדי להתחבר ל-ssh
שרת שמאזין ביציאה 22.
LA רשתות קובץ
קובץ הרשתות משמש להגדרת קבוצות ותתי קבוצות של מארחים (הידועים גם כרשתות).
זה ימנע יתירות בקובץ הפלט. פורמט התחביר עבור קובץ זה הוא:
שם רשת: ip/מסכה
בעוד ששם הרשת הוא מה שאתה רוצה, ה-IP הוא ה-IP של הרשת, וה-
mask היא מסיכת הרשת CIDR של הרשת. הכלל הוא 'התאמה ראשונה, נלקחה ראשונה'.
רשתות קובץ דוגמא
אדמין: 192.168.19.0/29
whole_subnet:192.168.0.0/16
אינטרנט: 0.0.0.0/0
גבולות
· nstreams יכולים לנתח רק את הפלט של 'tcpdump -n'
· למרות שהפלט של nstreams קל יותר לקריאה מזה של tcpdump, הוא כן
עדיין לא קל לקריאה. להשתמש sort(1) בפלט nstream כדי לקבל קובץ קריא יותר.
· תוכנית זו הייתה יכולה להיכתב ב-perl
השתמש ב-nstreams מקוון באמצעות שירותי onworks.net
