NStreams - un outil de detection de flux réseau
[Introduction] [License et disponibilité] [Principe de fonctionnement] [Installation] [Le fichier nstreams-services] [Le fichier nstreams-networks] [Options] [Autre usage] [Conclusion]
[debut] Principe de fonctionnement [precedent] [suivant]
La configuration de nstreams se fait au travers des fichiers ${prefix}/etc/nstreams-networks et ${prefix}/etc/nstreams-services
nstreams analyse les sorties tcpdump (sortie directe, ou via l'option -w de tcpdump) ou bien écoute directement le traffic réseau
il peut générer des résultats sous formes de trois "langages" :
  • Linux ipchains
  • BSD ipfw
  • Un language lisible par l'etre humain
nstreams analyse le traffic tcp, udp et icmp, et compare les valeurs des ports par rapport a la description des protocoles faites dans ${prefix}/etc/nstreams-protocols.
Il gère les flags TCP, et confondera difficilement du traffic inconnu avec du traffic classique qui aurait lieu dans l'autre sens

(C) 2000 Renaud Deraison <deraison@cvs.nessus.org>

- Page 3 -