nstreams - 云端在线

程序：

您的姓名

nstreams - tcpdump 输出分析器

概要

流媒体 [-v][-c nstreams-服务 ] [-n nstreams-网络文件 ] [ -N [ -i ] [ -I ]]
[ -r ] [ -O 输出 [ -D iface ] [ -Y ]] [ -u ] [ -U ] [ -B ] [ -f tcpdump_文件 ] [ -l
] [ 转储 产量 ]

商品描述

流媒体 是一种实用程序，旨在识别网络上发生的 IP 流
来自几兆字节的非用户友好的 tcpdump 输出。

这在您计划安装防火墙但不知道防火墙的情况时特别有用
网络用户正在生成的 nstreams（http、真实音频等）。 流媒体
可以直接从标准输入或文件中读取 tcpdump 输出。 它甚至可以生成
防火墙的配置文件，使用 -O 选项。

配置

-C
备用 nstreams 服务文件的路径。 该文件用于标识每个
协议。 见 服务 文件 本手册页后面的部分。

-n
备用 nstreams 网络文件的路径。 该文件用于识别哪个
主机属于哪个网络。 见 网络 文件 本手册后面的部分
页面上发布服务提醒。

-F
要从中读取数据的文件的路径。 该文件必须是使用生成的
'tcpdump -w 文件名'。

-l
直接在界面上收听. 这避免了使用 tcpdump。

-N 打印网络名称而不是主机 IP 地址。 内网
不会显示流量。 使用此选项两次以显示网络 IP 地址
而不是他们的名字。

-i 同时显示网内流量（必须与-N一起使用）

-I 只显示网内流量（必须和-N一起使用）

-r 是多余的。 也就是说，相同的流每次出现在
垃圾场。

-v 打印版本号并退出。

-O
输出类型。 您可以使用此选项生成防火墙启动脚本。 做
nstreams -h 查看支持的输出类型。

-D
应用到输出的接口。 必须与-O 一起使用。

-Y 将生成的防火墙规则将拒绝所有来自
外部试图与内部建立联系。 如果您的系统没有服务
任何东西，那么打开这个选项是安全的。

-u 不打印未知流

-U 只打印未知流

-B 显示广播和网络

用法

让 转储(1) 在您的网络上运行一段时间（例如一周），并将其输出保存在
文件，通过执行：
tcpdump -l -n > 输出
or
tcpdump -w 文件名

然后，喂 流媒体 使用这个输出文件，它将把它变成一个易于阅读的文件
这将帮助您编写高效的防火墙过滤器。 你也可以这样做：
tcpdump -l -n | 流媒体
or
nstreams -f 文件名（如果你使用了 tcpdump -w）

“ 服务 文件

服务文件包含每个协议的描述以及它们的名称。 它的
语法是：
协议名称：server_port(s)/{udp,tcp}:client_ports(s)
要么 ：
协议名称：类型/icmp：代码

然而 ：

协议名称
是所描述的协议的名称。 此名称可以包含任何字符，
包括空格，除了“:”。

服务器端口
是服务器使用的端口范围。 通常，您需要定义一个
仅限服务器端口，但您可以输入任何您想要的范围。

ip_协议
是该协议所在的 IP 协议。 可接受的值为 TCP 和
UDP

客户端端口

是客户端可以使用的端口范围。 您可以将其设置为 任何 或者，更多
准确的结果，端口范围，如“1-1024,2048-4096”。
规则是：“第一场比赛，第一场比赛”。

服务 文件 例

使用此语法，您可以通过以下方式声明 ssh 协议：
ssh-unix:22/tcp:1000-1023
因为 ssh 客户端的 Unix 版本使用特权端口连接到 ssh
侦听端口 22 的服务器。

“ NETWORKS 文件

网络文件用于定义主机（也称为网络）的集合和子集。
这避免了输出文件中的冗余。 此文件的语法格式为：
网络名称：ip/掩码
而网络名称是任何你想要的，IP 是网络的 IP，而
mask 是网络的 CIDR 网络掩码。 规则是“第一场比赛，第一场比赛”。

NETWORKS 文件 例

管理员：192.168.19.0/29
整个子网：192.168.0.0/16
互联网：0.0.0.0/0

极限

· nstreams 只能解析 'tcpdump -n' 的输出

· 尽管 nstreams 的输出比 tcpdump 的输出更容易阅读，但它是
仍然不容易阅读。 用 分类(1) 在nstream 输出上得到一个更具可读性的文件。

· 这个程序本来可以用 perl 写的

使用 onworks.net 服务在线使用 nstreams