Це команда nstreams, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
nstreams - аналізатор вихідних даних tcpdump
СИНТАКСИС
nstreams [ -v ] [ -c nstreams-сервіси ] [ -н nstreams-networks_file ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O вихід [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f tcpdump_file ] [ -l
] [ TCPDOMP вихід ]
ОПИС
nstreams це утиліта, призначена для ідентифікації IP-потоків, які відбуваються в мережі
із незручного для користувача виводу tcpdump розміром у кілька мегабайт.
Це особливо корисно, якщо ви плануєте встановити брандмауер, але не знаєте його
nstreams, які генерують користувачі мережі (http, реальне аудіо тощо...). nstreams
може читати вихідні дані tcpdump безпосередньо зі стандартного входу або з файлу. Він навіть може генерувати
файл конфігурації вашого брандмауера, використовуючи параметр -O.
ВАРІАНТИ
-c
Шлях до альтернативного сервісного файлу nstreams. Цей файл використовується для ідентифікації кожного
протокол. Див послуги файл розділ пізніше на цій сторінці посібника.
-n
Шлях до альтернативного мережевого файлу nstreams. Цей файл використовується для визначення якого
до якої мережі належать хости. Див мереж файл розділ нижче в цьому посібнику
стр.
-f
Шлях до файлу для читання даних. Цей файл мав бути створений за допомогою
'tcpdump -w ім'я файлу'.
-л
Слухайте безпосередньо в інтерфейсі . Це дозволяє уникнути використання tcpdump.
-N друкувати назви мереж замість IP-адрес хостів. Внутрішньомережа
трафік не відображатиметься. Використовуйте цю опцію двічі, щоб показати IP-адресу мережі
замість їхніх імен.
-i Також показувати внутрішньомережевий трафік (повинен використовуватися з -N)
-I Показувати лише внутрішньомережевий трафік (потрібно використовувати з -N)
-r бути зайвим. Тобто одні й ті самі потоки друкуватимуться щоразу, коли вони з’являться
смітник.
-v надрукувати номер версії та вийти.
-О
тип виходу. Ви можете використовувати цю опцію для створення сценарію запуску брандмауера. Зробіть
nstreams -h, щоб побачити підтримувані типи виводу.
-D
інтерфейс для застосування до виводу. Необхідно використовувати з -O.
-Y Правила брандмауера, які будуть згенеровані, заборонятимуть усі пакети, що надходять від
зовні, намагаючись встановити зв’язки зсерединою. Якщо ваша система не обслуговує
будь-що, тоді можна безпечно ввімкнути цю опцію.
-u Не друкувати невідомі потоки
-U Друкуйте лише невідомі потоки
-B Показати трансляції та мережі
ВИКОРИСТАННЯ
Дозволяти TCPDOMP(1) запустіть деякий час у вашій мережі (наприклад, один тиждень) і збережіть результат у файлі a
файл, виконавши:
tcpdump -l -n > вихід
or
tcpdump -w ім'я файлу
Потім годувати nstreams з цим вихідним файлом, і він перетворить його на легко читаний файл
який допоможе вам написати ефективні фільтри брандмауера. Ви також можете зробити:
tcpdump -l -n | nstreams
or
nstreams -f ім'я файлу (якщо ви використовували tcpdump -w)
THE ПОСЛУГИ Фото
Сервісний файл містить опис кожного протоколу, а також їх назву. Його
синтаксис:
protocol_name:server_port(s)/{udp,tcp}:client_ports(s)
або:
protocol_name:type(s)/icmp:code(s)
Враховуючи:
ім'я_протоколу
це назва описаного протоколу. Це ім'я може містити будь-який символ,
включаючи пробіл, крім ":".
сервер_порт(и)
це діапазон портів, які використовує сервер. Зазвичай вам потрібно визначити один
лише порт сервера, але ви можете ввести будь-який діапазон, який забажаєте.
ip_protocol
- це IP-протокол, на якому лежить цей протокол. Прийнятні значення є тпп та
udp
client_port(s)
це діапазон портів, які може використовувати клієнт. Ви можете встановити це на будь-який або, більше
точні результати до діапазонів портів, наприклад "1-1024,2048-4096".
Правила такі: «перший матч, перший взятий».
СЕРВІС Фото приклад
Використовуючи цей синтаксис, ви б оголосили протокол ssh:
ssh-unix:22/tcp:1000-1023
Оскільки версія клієнта ssh для Unix використовує привілейований порт для підключення до ssh
сервер, який прослуховує порт 22.
THE Мережі Фото
Файл мереж використовується для визначення наборів і підмножин хостів (також відомих як мережі).
Це дозволяє уникнути надмірності у вихідному файлі. Формат синтаксису для цього файлу:
назва мережі: IP/mask
У той час як ім’я мережі – це будь-яке, що ви хочете, IP – це ip мережі та
mask — це мережева маска CIDR мережі. Правило «перший матч, перший отриманий».
Мережі Фото приклад
адміністратор: 192.168.19.0/29
вся_підмережа:192.168.0.0/16
Інтернет: 0.0.0.0/0
МЕЖІ
· nstreams можуть аналізувати лише вихід 'tcpdump -n'
· Незважаючи на те, що вихідні дані nstreams легше читати, ніж вихідні дані tcpdump, це так
досі не легко читається. Використовуйте сортувати(1) на виводі nstream, щоб отримати більш читабельний файл.
· Цю програму можна було б написати на perl
Використовуйте nstreams онлайн за допомогою служб onworks.net
