Jest to polecenie nstreams, które można uruchomić u bezpłatnego dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
nstreams - analizator wyjściowy tcpdump
STRESZCZENIE
strumienie [ -v ] [ -c usługi nstreams ] [ -N plik_nstreams-networks ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O wyjście [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f plik_tcpdump_file ] [ -l
] [ tcpdump wydajność ]
OPIS
strumienie to narzędzie zaprojektowane do identyfikowania strumieni IP występujących w sieci
z nieprzyjaznego dla użytkownika wyjścia tcpdump o wielkości kilku megabajtów.
Jest to szczególnie przydatne, gdy planujesz zainstalować zaporę ogniową, ale nie znasz jej
strumienie generowane przez użytkowników sieci (http, real audio i więcej...). strumienie
może odczytać wyjście tcpdump bezpośrednio ze standardowego wejścia lub z pliku. Może nawet generować tzw
plik konfiguracyjny zapory, używając opcji -O.
OPCJE
-C
Ścieżka do alternatywnego pliku usługi nstreams. Ten plik służy do identyfikacji każdego z nich
protokół. Zobacz elektryczne filet sekcję w dalszej części tej strony podręcznika.
-N
Ścieżka do alternatywnego pliku sieciowego nstreams. Ten plik służy do identyfikacji, które
hosty należą do jakiej sieci. Zobacz sieci filet rozdział w dalszej części tej instrukcji
strona.
-F
Ścieżka do pliku, z którego mają zostać odczytane dane. Ten plik musiał zostać wygenerowany przy użyciu
'tcpdump -w nazwa_pliku'.
-l
Słuchaj bezpośrednio w interfejsie . Pozwala to uniknąć użycia tcpdump.
-N wypisuje nazwy sieci zamiast adresów IP hostów. Sieć wewnętrzna
ruch nie zostanie pokazany. Użyj tej opcji dwukrotnie, aby wyświetlić adres IP sieci
zamiast ich imion.
-i Pokaż także ruch wewnątrz sieci (musi być używany z -N)
-I Pokaż tylko ruch wewnątrz sieci (musi być używany z -N)
-r być zbędne. Oznacza to, że te same strumienie będą drukowane za każdym razem, gdy się pojawią
wysypisko.
-v wypisuje numer wersji i wychodzi.
-O
Typ wyjścia. Tej opcji można użyć do wygenerowania skryptu uruchamiania zapory. Do
nstreams -h, aby wyświetlić obsługiwane typy danych wyjściowych.
-D
interfejs, który ma zostać zastosowany do danych wyjściowych. Musi być używany z -O.
-Y Reguły firewalla, które zostaną wygenerowane, odrzucą wszystkie pakiety przychodzące z
na zewnątrz, próbując nawiązać połączenia z wnętrzem. Jeśli twój system nie działa
cokolwiek, to możesz bezpiecznie włączyć tę opcję.
-u Nie drukuj nieznanych strumieni
-U Drukuj tylko nieznane strumienie
-B Pokaż transmisje i sieci
ZASTOSOWANIE
Niech tcpdump(1) uruchom trochę czasu w swojej sieci (na przykład tydzień) i zapisz swoje dane wyjściowe w formacie
plik, wykonując:
tcpdump -l -n > wyjście
or
tcpdump -w nazwa pliku
Następnie karm strumienie z tym plikiem wyjściowym i zamieni go w plik łatwy do odczytania
który pomoże Ci napisać wydajne filtry firewalla. Możesz także zrobić:
tcpdump -l -n | strumienie
or
nstreams -f nazwa pliku (jeśli użyłeś tcpdump -w)
THE USŁUGI FILE
Plik usługi zawiera opis każdego protokołu, a także jego nazwę. Jego
składnia to:
nazwa_protokołu:porty_serwera/{udp,tcp}:porty_klienta
złoto:
nazwa_protokołu:typ(y)/icmp:kod(y)
Mając na uwadze, że :
nazwa_protokołu
jest nazwą opisanego protokołu. Ta nazwa może zawierać dowolny znak,
łącznie ze spacją, z wyjątkiem „:”.
port_serwera
to zakres portów używanych przez serwer. Zwykle będziesz chciał go zdefiniować
tylko port serwera, ale możesz wprowadzić dowolny zakres.
ip_protokół
to protokół IP, na którym opiera się ten protokół. Dopuszczalne wartości to tcp i
udp
port(y) klienta
to zakres portów, z których może korzystać klient. Możesz to ustawić na każdy lub więcej
dokładne wyniki, do zakresów portów, takich jak „1-1024,2048-4096”.
Zasady są następujące: „pierwszy mecz, pierwszy wzięty”.
SERWIS FILE PRZYKŁAD
Używając tej składni, zadeklarowałbyś protokół ssh przez:
ssh-unix:22/tcp:1000-1023
Ponieważ uniksowa wersja klienta ssh używa uprzywilejowanego portu do łączenia się z ssh
serwer nasłuchujący na porcie 22.
THE SIECI FILE
Plik sieci służy do definiowania zestawów i podzbiorów hostów (znanych również jako sieci).
Pozwala to uniknąć redundancji w pliku wyjściowym. Format składni tego pliku to:
nazwa sieci: ip/maska
Podczas gdy nazwa sieci jest dowolna, adres IP to adres IP sieci, a adres
maska to maska sieci CIDR sieci. Zasada jest „pierwszy mecz, pierwszy wzięty”.
SIECI FILE PRZYKŁAD
administrator:192.168.19.0/29
cała_podsieć:192.168.0.0/16
internet:0.0.0.0/0
OGRANICZENIA
· nstreams może analizować tylko dane wyjściowe „tcpdump -n”
· Nawet jeśli dane wyjściowe nstreams są łatwiejsze do odczytania niż te z tcpdump, tak jest
nadal mało czytelny. Używać rodzaj(1) na wyjściu nstream, aby uzyskać bardziej czytelny plik.
· Ten program mógł być napisany w perlu
Korzystaj z nstreams online, korzystając z usług onworks.net