Este é o comando nstreams que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
nstreams - um analisador de saída tcpdump
SINOPSE
nstreams [-v] [-c serviços nstreams ] [-n nstreams-networks_file ] [-N [-i] [-I]]
[-r] [-O output [-D iface] [-Y]] [-u] [-U] [-B] [-f arquivo_tcpdump ] [ -l
] [ tcpdump saída ]
DESCRIÇÃO
nstreams é um utilitário projetado para identificar os fluxos de IP que estão ocorrendo em uma rede
a partir de uma saída tcpdump não amigável de vários megabytes.
Isso é especialmente útil quando você planeja instalar um firewall, mas se você não conhece o
nstreams que os usuários da rede estão gerando (http, áudio real e mais ...). nstreams
pode ler a saída do tcpdump diretamente do stdin ou de um arquivo. Pode até gerar o
arquivo de configuração do seu firewall, usando a opção -O.
OPÇÕES
-c
O caminho para um arquivo de serviço nstreams alternativo. Este arquivo é usado para identificar cada
protocolo. Veja o Serviços lima seção posteriormente nesta página de manual.
-n
O caminho para um arquivo de rede nstreams alternativo. Este arquivo é usado para identificar quais
hosts pertencem a qual rede. Veja o redes lima seção posteriormente neste manual
Disputas de Comerciais.
-f
O caminho para o arquivo do qual ler os dados. Este arquivo deve ter sido gerado usando
'tcpdump -w filename'.
-eu
Ouça diretamente na interface . Isso evita o uso de tcpdump.
-N imprime os nomes das redes em vez dos endereços IP dos hosts. A intra-rede
o tráfego não será mostrado. Use esta opção duas vezes para mostrar o endereço IP da rede
em vez de seus nomes.
-i Mostra também o tráfego intra-rede (deve ser usado com -N)
-I Mostra apenas o tráfego intra-rede (deve ser usado com -N)
-r seja redundante. Ou seja, os mesmos streams serão impressos cada vez que aparecerem no
o despejo.
-v imprime o número da versão e sai.
-O
tipo de saída. Você pode usar esta opção para gerar o script de inicialização do seu firewall. Fazer
nstreams -h para ver os tipos de saída suportados.
-D
interface para aplicar à saída. Deve ser usado com -O.
-Y As regras de firewall que serão geradas negarão todos os pacotes vindos do
fora tentando estabelecer conexões com o interior. Se o seu sistema não estiver servindo
qualquer coisa, então é seguro ativar essa opção.
-u Não imprime os fluxos desconhecidos
-U Imprime apenas os fluxos desconhecidos
-B Mostrar transmissões e redes
USO
Deixei tcpdump(1) execute algum tempo em sua rede (como uma semana) e salve sua saída em um
arquivo, fazendo:
tcpdump -l -n> output
or
tcpdump -w nome do arquivo
Então, alimente nstreams com este arquivo de saída, e ele irá transformá-lo em um arquivo facilmente legível
que o ajudará a escrever filtros de firewall eficientes. Você também pode fazer:
tcpdump -l -n | nstreams
or
nstreams -f filename (se você usou tcpdump -w)
A SERVIÇOS ARQUIVO
O arquivo de serviço contém a descrição de cada protocolo, bem como seu nome. Seu
sintaxe é:
protocol_name: server_port (s) / {udp, tcp}: client_ports (s)
ouro:
protocol_name: tipo (s) / icmp: código (s)
Enquanto que :
nome_do_protocolo
é o nome do protocolo descrito. Este nome pode conter qualquer caractere,
incluindo espaço, exceto ':'.
server_port (s)
é o intervalo de portas usado pelo servidor. Normalmente, você vai querer definir um
porta do servidor apenas, mas você pode inserir qualquer intervalo que desejar.
protocolo_ip
é o protocolo IP no qual este protocolo está instalado. Os valores aceitáveis são tcp e
udp
client_port (s)
é o intervalo de portas que o cliente pode usar. Você pode definir isso para qualquer ou, para mais
resultados precisos, para intervalos de portas, como '1-1024,2048-4096'.
As regras são: 'primeira partida, primeira tomada'.
SERVIÇO ARQUIVO EXEMPLO
Usando essa sintaxe, você declararia o protocolo ssh:
ssh-unix: 22 / tcp: 1000-1023
Porque a versão Unix do cliente ssh usa uma porta privilegiada para se conectar ao ssh
servidor que escuta na porta 22.
A NETWORKS ARQUIVO
O arquivo de redes é usado para definir conjuntos e subconjuntos de hosts (também conhecidos como redes).
Isso evita redundância no arquivo de saída. O formato da sintaxe para este arquivo é:
nome da rede: ip / máscara
Considerando que o nome da rede é o que você quiser, o IP é o ip da rede, e o
mask é a máscara de rede CIDR da rede. A regra é 'primeira correspondência, escolhida primeiro'.
NETWORKS ARQUIVO EXEMPLO
admin: 192.168.19.0/29
Whole_subnet: 192.168.0.0/16
internet: 0.0.0.0/0
LIMITES
· Nstreams só pode analisar a saída de 'tcpdump -n'
· Mesmo que a saída de nstreams seja mais fácil de ler do que a de tcpdump, é
ainda não é facilmente legível. Usar tipo(1) na saída nstream para obter um arquivo mais legível.
· Este programa pode ter sido escrito em perl
Use nstreams online usando serviços onworks.net
