Đây là dòng lệnh có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình mô phỏng trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
nstreams - bộ phân tích đầu ra tcpdump
SYNOPSIS
nstream [ -v ] [ -c dịch vụ nstreams ] [ -N nstreams-mạng_file ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O đầu ra [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f tcpdump_file ] [ -l
] [ tcpdump đầu ra ]
MÔ TẢ
nstream là một tiện ích được thiết kế để xác định các luồng IP đang diễn ra trên mạng
từ đầu ra tcpdump không thân thiện với người dùng có dung lượng vài megabyte.
Điều này đặc biệt hữu ích khi bạn định cài đặt tường lửa nhưng nếu bạn không biết
các luồng mà người dùng mạng đang tạo ra (http, âm thanh thực và hơn thế nữa...). nstream
có thể đọc đầu ra tcpdump trực tiếp từ stdin hoặc từ một tệp. Nó thậm chí có thể tạo ra
tập tin cấu hình tường lửa của bạn, sử dụng tùy chọn -O.
LỰA CHỌN
-c
Đường dẫn đến tệp dịch vụ nstreams thay thế. Tập tin này được sử dụng để xác định mỗi
giao thức. Xem dịch vụ hồ sơ phần sau trong trang hướng dẫn này.
-N
Đường dẫn đến tệp mạng nstreams thay thế. Tập tin này được sử dụng để xác định
máy chủ thuộc mạng nào. Xem mạng hồ sơ phần sau trong hướng dẫn này
.
-f
Đường dẫn tới file cần đọc dữ liệu. Tệp này phải được tạo bằng cách sử dụng
'tcpdump -w tên tệp'.
-l
Nghe trực tiếp trên giao diện . Điều này tránh việc sử dụng tcpdump.
-N in tên mạng thay vì địa chỉ IP của máy chủ. Mạng nội bộ
giao thông sẽ không được hiển thị. Sử dụng tùy chọn này hai lần để hiển thị địa chỉ IP của mạng
thay vì tên của họ.
-i Đồng thời hiển thị lưu lượng truy cập nội mạng (phải được sử dụng với -N)
-I Chỉ hiển thị lưu lượng truy cập nội mạng (phải sử dụng với -N)
-r là dư thừa. Nghĩa là, các luồng giống nhau sẽ được in mỗi lần chúng xuất hiện trong
bãi rác.
-v in số phiên bản và thoát.
-O
Loại đầu ra. Bạn có thể sử dụng tùy chọn này để tạo tập lệnh khởi động tường lửa của mình. LÀM
nstreams -h để xem các loại đầu ra được hỗ trợ.
-D
giao diện để áp dụng cho đầu ra. Phải được sử dụng với -O.
-Y Các quy tắc tường lửa sẽ được tạo sẽ từ chối tất cả các gói đến từ
bên ngoài đang cố gắng thiết lập các kết nối với bên trong. Nếu hệ thống của bạn không phục vụ
bất cứ điều gì, thì việc bật tùy chọn này là an toàn.
-u Không in các luồng không xác định
-U Chỉ in các luồng không xác định
-B Hiển thị các chương trình phát sóng và mạng
SỬ DỤNG
Hãy liên hệ với tcpdump(1) chạy một thời gian trên mạng của bạn (chẳng hạn như một tuần) và lưu kết quả đầu ra của nó trong một
tập tin, bằng cách thực hiện:
tcpdump -l -n > đầu ra
or
tcpdump -w tên tệp
Sau đó cho ăn nstream với tệp đầu ra này và nó sẽ biến nó thành một tệp dễ đọc
điều này sẽ giúp bạn viết các bộ lọc tường lửa hiệu quả. Bạn cũng có thể làm:
tcpdump -l -n | nstream
or
tên tệp nstreams -f (nếu bạn đã sử dụng tcpdump -w)
CÁC DỊCH VỤ FILE
Tệp dịch vụ chứa mô tả của từng giao thức, cũng như tên của chúng. Của nó
cú pháp là:
Protocol_name:server_port(s)/{udp,tcp}:client_ports(s)
hoặc là :
giao thức_name:loại(s)/icmp:code(s)
Trong khi :
tên_giao thức
là tên của giao thức được mô tả. Tên này có thể chứa bất kỳ ký tự nào,
bao gồm khoảng trắng, ngoại trừ ':'.
(các) server_port
là phạm vi cổng được máy chủ sử dụng. Thông thường, bạn sẽ muốn xác định một
chỉ cổng máy chủ, nhưng bạn có thể nhập bất kỳ phạm vi nào bạn muốn.
giao thức ip_protocol
là giao thức IP mà giao thức này đang dựa vào. Các giá trị được chấp nhận là tcp và
udp
(các) client_port
là phạm vi cổng mà máy khách có thể sử dụng. Bạn có thể đặt cái này thành bất kì hoặc, để biết thêm
kết quả chính xác, theo phạm vi cổng, như '1-1024,2048-4096'.
Luật chơi là: 'trận đấu đầu tiên, trận đấu đầu tiên được thực hiện'.
Dịch vụ FILE THÍ DỤ
Sử dụng cú pháp này, bạn sẽ khai báo giao thức ssh bằng cách:
ssh-unix:22/tcp:1000-1023
Bởi vì phiên bản Unix của máy khách ssh sử dụng cổng đặc quyền để kết nối vào ssh
máy chủ lắng nghe trên cổng 22.
CÁC MẠNG FILE
Tệp mạng được sử dụng để xác định các tập hợp và tập hợp con của máy chủ (còn được gọi là mạng).
Điều này tránh sự dư thừa trong tập tin đầu ra. Định dạng cú pháp cho tệp này là:
Tên mạng: ip/mask
Trong khi tên mạng là bất cứ thứ gì bạn muốn thì IP là ip của mạng và
mặt nạ là mặt nạ mạng CIDR của mạng. Quy tắc là 'trận đấu đầu tiên, được thực hiện trước'.
MẠNG FILE THÍ DỤ
quản trị viên:192.168.19.0/29
toàn_subnet:192.168.0.0/16
internet:0.0.0.0/0
GIỚI HẠN
· nstreams chỉ có thể phân tích kết quả đầu ra của 'tcpdump -n'
· Mặc dù đầu ra của nstreams dễ đọc hơn đầu ra của tcpdump, nhưng nó
vẫn không dễ đọc. Sử dụng loại(1) trên đầu ra nstream để có được tệp dễ đọc hơn.
· Chương trình này có thể được viết bằng Perl
Sử dụng nstreams trực tuyến bằng dịch vụ onworks.net