nstreams - ออนไลน์ในคลาวด์

โครงการ:

ชื่อ

nstreams - ตัววิเคราะห์เอาต์พุต tcpdump

เรื่องย่อ

กระแสน้ำ [ -v ] [ -ค nstreams-บริการ ] [ -NS nstreams-networks_file ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O เอาต์พุต [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f tcpdump_file ] [ -l
] [ tcpdump เอาท์พุต ]

DESCRIPTION

กระแสน้ำ เป็นยูทิลิตี้ที่ออกแบบมาเพื่อระบุสตรีม IP ที่เกิดขึ้นบนเครือข่าย
จากเอาต์พุต tcpdump ที่ไม่เป็นมิตรกับผู้ใช้ซึ่งมีขนาดหลายเมกะไบต์

สิ่งนี้มีประโยชน์อย่างยิ่งเมื่อคุณวางแผนที่จะติดตั้งไฟร์วอลล์ แต่ถ้าคุณไม่รู้
nstreams ที่ผู้ใช้เครือข่ายกำลังสร้าง (http, เสียงจริง, และอื่นๆ...) กระแสน้ำ
สามารถอ่านเอาต์พุต tcpdump ได้โดยตรงจาก stdin หรือจากไฟล์ มันยังสามารถสร้าง
ไฟล์การกำหนดค่าของไฟร์วอลล์ของคุณ โดยใช้ตัวเลือก -O

OPTIONS

-ค
พาธไปยังไฟล์บริการ nstreams สำรอง ไฟล์นี้ใช้เพื่อระบุแต่ละ
มาตรการ. ดู บริการ ไฟล์ ในภายหลังในหน้าคู่มือนี้

-NS
พาธไปยังไฟล์เครือข่าย nstreams สำรอง ไฟล์นี้ใช้เพื่อระบุว่าไฟล์ใด
โฮสต์อยู่ในเครือข่ายใด ดู เครือข่าย ไฟล์ ต่อไปในคู่มือนี้
หน้า.

-NS
พาธไปยังไฟล์เพื่ออ่านข้อมูลจาก ต้องสร้างไฟล์นี้โดยใช้
'tcpdump -w ชื่อไฟล์'

-l
ฟังโดยตรงบนอินเทอร์เฟซ . เพื่อหลีกเลี่ยงการใช้ tcpdump

-N พิมพ์ชื่อเครือข่ายแทนที่อยู่ IP ของโฮสต์ ภายในเครือข่าย
การจราจรจะไม่ปรากฏ ใช้ตัวเลือกนี้สองครั้งเพื่อแสดงที่อยู่ IP ของเครือข่าย
แทนชื่อของพวกเขา

-i แสดงทราฟฟิกภายในเครือข่ายด้วย (ต้องใช้กับ -N)

-I แสดงเฉพาะการรับส่งข้อมูลภายในเครือข่าย (ต้องใช้กับ -N)

-r จะซ้ำซ้อน นั่นคือจะพิมพ์สตรีมเดียวกันทุกครั้งที่ปรากฏใน
การถ่ายโอนข้อมูล

-v พิมพ์หมายเลขเวอร์ชันและออก

-O
ประเภทเอาต์พุต คุณสามารถใช้ตัวเลือกนี้เพื่อสร้างสคริปต์เริ่มต้นไฟร์วอลล์ของคุณ ทำ
nstreams -h เพื่อดูประเภทเอาต์พุตที่รองรับ

-NS
อินเทอร์เฟซสำหรับใช้กับเอาต์พุต ต้องใช้กับ -O

-Y กฎไฟร์วอลล์ที่จะสร้างขึ้นจะปฏิเสธแพ็กเก็ตทั้งหมดที่มาจาก
ภายนอกพยายามสร้างสัมพันธ์กับภายใน หากระบบของคุณไม่ให้บริการ
อะไรก็ตามที่เปิดใช้งานตัวเลือกนี้ได้อย่างปลอดภัย

-u อย่าพิมพ์กระแสที่ไม่รู้จัก

-U พิมพ์เฉพาะกระแสที่ไม่รู้จัก

-B แสดงการออกอากาศและเครือข่าย

การใช้

ปล่อยให้ tcpdump(1) ใช้เวลาบนเครือข่ายของคุณ (เช่น หนึ่งสัปดาห์) และบันทึกผลลัพธ์ใน a
ไฟล์โดยทำ:
tcpdump -l -n > เอาต์พุต
or
tcpdump -w ชื่อไฟล์

จากนั้นให้อาหาร กระแสน้ำ ด้วยไฟล์เอาท์พุตนี้ และมันจะกลายเป็นไฟล์ที่อ่านง่าย
ซึ่งจะช่วยให้คุณเขียนตัวกรองไฟร์วอลล์ได้อย่างมีประสิทธิภาพ คุณยังสามารถทำ:
tcpdump -l -n | กระแสน้ำ
or
nstreams -f ชื่อไฟล์ (ถ้าคุณใช้ tcpdump -w)

DIE บริการของเรา ไฟล์

ไฟล์บริการประกอบด้วยคำอธิบายของแต่ละโปรโตคอล เช่นเดียวกับชื่อ มันคือ
ไวยากรณ์คือ:
protocol_name:server_port(s)/{udp,tcp}:client_ports(s)
หรือ :
protocol_name:ประเภท/icmp:รหัส

ในทางตรงกันข้าม :

ชื่อโปรโตคอล
เป็นชื่อของโปรโตคอลที่อธิบายไว้ ชื่อนี้อาจมีอักขระใดก็ได้
รวมทั้งเว้นวรรค ยกเว้น ':'

เซิร์ฟเวอร์_พอร์ต
คือช่วงของพอร์ตที่เซิร์ฟเวอร์ใช้ โดยปกติ คุณจะต้องกำหนดหนึ่ง
พอร์ตเซิร์ฟเวอร์เท่านั้น แต่คุณสามารถป้อนช่วงใดก็ได้ที่คุณต้องการ

ip_โปรโตคอล
เป็นโปรโตคอล IP ที่โปรโตคอลนี้วางอยู่ ค่าที่ยอมรับได้คือ TCP และ
UDP

ลูกค้า_พอร์ต

คือช่วงของพอร์ตที่ไคลเอนต์อาจใช้ คุณสามารถตั้งค่านี้เป็น ใด หรือเพิ่มเติม
ผลลัพธ์ที่แม่นยำ สำหรับช่วงพอร์ต เช่น '1-1024,2048-4096'
กฎคือ: 'นัดแรก ได้ก่อน'

บริการ ไฟล์ ตัวอย่าง

เมื่อใช้ไวยากรณ์นี้ คุณจะประกาศโปรโตคอล ssh โดย:
ssh-unix:22/tcp:1000-1023
เนื่องจากไคลเอ็นต์ ssh เวอร์ชัน Unix ใช้พอร์ตที่มีสิทธิพิเศษเพื่อเชื่อมต่อกับ ssh
เซิร์ฟเวอร์ที่ฟังบนพอร์ต 22

DIE NETWORKS ไฟล์

ไฟล์เครือข่ายใช้เพื่อกำหนดชุดและชุดย่อยของโฮสต์ (หรือที่เรียกว่าเครือข่าย)
เพื่อหลีกเลี่ยงความซ้ำซ้อนในไฟล์เอาต์พุต รูปแบบไวยากรณ์สำหรับไฟล์นี้คือ:
ชื่อเครือข่าย:ip/mask
ในขณะที่ชื่อเครือข่ายเป็นสิ่งที่คุณต้องการ IP คือ IP ของเครือข่ายและ
mask คือ CIDR netmask ของเครือข่าย กฎคือ 'นัดแรก รับก่อน'

NETWORKS ไฟล์ ตัวอย่าง

ผู้ดูแลระบบ:192.168.19.0/29
Whole_subnet:192.168.0.0/16
อินเตอร์เน็ต:0.0.0.0/0

ขีด จำกัด

· nstreams สามารถแยกวิเคราะห์ผลลัพธ์ของ 'tcpdump -n' เท่านั้น

· แม้ว่าเอาต์พุตของ nstreams จะอ่านได้ง่ายกว่า tcpdump ตัวใดตัวหนึ่ง แต่ก็เป็น
ยังอ่านไม่ง่าย ใช้ ประเภท(1) บนเอาต์พุต nstream เพื่อให้ได้ไฟล์ที่อ่านง่ายขึ้น

· โปรแกรมนี้สามารถเขียนด้วยภาษา Perl

ใช้ nstreams ออนไลน์โดยใช้บริการ onworks.net