Это команда nstreams, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
nstreams - анализатор вывода tcpdump
СИНТАКСИС
нстримы [-v] [-c nstreams-услуги ] [-n nstreams-networks_file ] [-N [-i] [-I]]
[-r] [-O вывод [-D iface] [-Y]] [-u] [-U] [-B] [-f tcpdump_file ] [ -l
] [ ТСРйитр выходной ]
ОПИСАНИЕ
нстримы это утилита, предназначенная для идентификации IP-потоков, происходящих в сети.
из неудобного для пользователя вывода tcpdump размером в несколько мегабайт.
Это особенно полезно, если вы планируете установить брандмауэр, но не знаете
nstreams, которые генерируют пользователи сети (http, реальный звук и т. д.). нстримы
может читать вывод tcpdump прямо из стандартного ввода или из файла. Он может даже генерировать
файл конфигурации вашего брандмауэра, используя параметр -O.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-c
Путь к альтернативному служебному файлу nstreams. Этот файл используется для идентификации каждого
протокол. Увидеть услуги файл раздел далее на этой странице руководства.
-n
Путь к альтернативному сетевому файлу nstreams. Этот файл используется для определения
хосты к какой сети принадлежат. Увидеть сетей файл раздел далее в этом руководстве
стр.
-f
Путь к файлу, из которого будут считываться данные. Этот файл должен быть создан с использованием
'tcpdump -w имя_файла'.
-l
Слушайте прямо на интерфейсе . Это позволяет избежать использования tcpdump.
-N печатать имена сетей вместо IP-адресов хостов. Внутрисетевой
трафик отображаться не будет. Используйте эту опцию дважды, чтобы показать IP-адрес сети.
вместо их имен.
-i Также показать внутрисетевой трафик (необходимо использовать с -N)
-I Показывать только внутрисетевой трафик (необходимо использовать с -N)
-r быть избыточным. То есть одни и те же потоки будут печататься каждый раз, когда они появляются в
свалка.
-v напечатать номер версии и выйти.
-O
тип вывода. Вы можете использовать эту опцию для создания сценария запуска брандмауэра. Делать
nstreams -h, чтобы увидеть поддерживаемые типы вывода.
-D
интерфейс для применения к выходным данным. Должен использоваться с -O.
-Y Правила брандмауэра, которые будут сгенерированы, будут отклонять все пакеты, приходящие из
снаружи пытается установить связи с внутренним. Если ваша система не работает
что угодно, тогда можно безопасно включить эту опцию.
-u Не печатать неизвестные потоки
-U Распечатать только неизвестные потоки
-B Показать трансляции и сети
ИСПОЛЬЗОВАНИЕ
Позволять ТСРйитр(1) запустить некоторое время в вашей сети (например, одну неделю) и сохранить его вывод в
файл, выполнив:
tcpdump -l -n> вывод
or
tcpdump -w имя файла
Затем накормите нстримы с этим выходным файлом, и он превратит его в легко читаемый файл
который поможет вам написать эффективные фильтры межсетевого экрана. Вы также можете:
tcpdump -l -n | нстримы
or
nstreams -f имя_файла (если вы использовали tcpdump -w)
НАШИ УСЛУГИ ФАЙЛОВ
Сервисный файл содержит описание каждого протокола, а также их имя. Его
синтаксис:
имя_протокола: порты_сервера / {udp, tcp}: порты_клиента
золото:
имя_протокола: тип (ы) / icmp: код (ы)
В то время как :
имя_протокола
это имя описываемого протокола. Это имя может содержать любой символ,
включая пробел, кроме ":".
server_port (s)
это диапазон портов, используемых сервером. Обычно вам нужно определить один
только порт сервера, но вы можете ввести любой диапазон, который хотите.
ip_протокол
это IP-протокол, на котором лежит этот протокол. Допустимые значения: TCP и
UDP
client_port (s)
это диапазон портов, которые может использовать клиент. Вы можете установить это на любой или, для большего
точные результаты для диапазонов портов, например «1-1024,2048-4096».
Правила таковы: «первый матч, первый взятый».
СЕРВИС ФАЙЛОВ ПРИМЕР
Используя этот синтаксис, вы можете объявить протокол ssh следующим образом:
ssh-unix: 22 / TCP: 1000-1023
Поскольку версия клиента ssh для Unix использует привилегированный порт для подключения к ssh
сервер, который слушает порт 22.
NETWORKS ФАЙЛОВ
Файл сетей используется для определения наборов и подмножеств хостов (также известных как сети).
Это позволяет избежать избыточности в выходном файле. Формат синтаксиса для этого файла:
сетевое имя: ip / маска
В то время как имя сети - это все, что вы хотите, IP - это IP-адрес сети, а
mask - маска сети CIDR. Правило - «первый матч - первый взятый».
NETWORKS ФАЙЛОВ ПРИМЕР
админ: 192.168.19.0/29
вся_подсеть: 192.168.0.0/16
Интернет: 0.0.0.0/0
ПРЕДЕЛЫ
· Nstreams может анализировать только вывод tcpdump -n
· Несмотря на то, что вывод nstreams легче читать, чем вывод tcpdump, он
все еще не легко читается. Использовать sort(1) на выходе nstream, чтобы получить более читаемый файл.
· Эта программа могла быть написана на perl
Используйте nstreams онлайн с помощью сервисов onworks.net
