ngrep-en Netværkspakkeanalysator til Ngrep

Ngrep (netværksgrep) er en simpel, men kraftfuld netværkspakkeanalysator. Det er et grep-lignende værktøj, der anvendes på netværkslaget – det matcher trafik, der passerer over en netværksgrænseflade. Det giver dig mulighed for at angive en udvidet regelmæssig eller seksadecimal udtryk til at matche mod data nyttelast (den faktiske oplysninger eller besked i transmitterede data, men ikke auto-genereret metadata) af pakker.

dette værktøj fungerer med forskellige typer protokoller, herunder IPv4/6, TCP, UDP, ICMPv4/6, IGMP samt rå på en række grænseflader. Det fungerer på samme måde som tcpdump packet sniffing tool.

pakken ngrep kan installeres fra standardsystemlagrene i almindelige distributioner ved hjælp af pakkehåndteringsværktøjet som vist.

$ sudo apt install ngrep$ sudo yum install ngrep$ sudo dnf install ngrep

efter installation af ngrep kan du begynde at analysere trafik på dit netværk ved hjælp af følgende eksempler.

1. Følgende kommando hjælper dig med at matche alle ping-anmodninger på standardarbejdsgrænsefladen. Du skal åbne en anden terminal og forsøge at pinge en anden fjernmaskine. -q – flaget fortæller ngrep at arbejde stille og ikke udsende andre oplysninger end pakkehoveder og deres nyttelast.

du kan trykke på Ctrl + C for at afslutte det.

2. At matche kun trafik, der går til et bestemt destinationssted, for eksempel ‘google.com’, kør følgende kommando, og prøv derefter at få adgang til den fra en bro.ser.

3. Hvis du surfer på nettet, kør derefter følgende kommando for at overvåge, hvilke filer din bro.ser anmoder om:.

4. Kør følgende kommando for at se alle aktivitetskrydsningskilder eller destinationsport 25 (SMTP).

$ sudo ngrep port 25

5. For at overvåge enhver netværksbaseret syslog-trafik for forekomsten af ordet “fejl” skal du bruge følgende kommando.

 $ sudo ngrep -d any 'error' port 514

det er vigtigt, at dette værktøj kan konvertere serviceportnavne, der er gemt i “/etc/services” (på unikke systemer som f.eks. Denne kommando svarer til ovenstående kommando.

$ sudo ngrep -d any 'error' port syslog

6. Du kan også køre ngrep mod en HTTP-server (port 80), det vil matche alle anmodninger til destinationen vært som vist.

som du kan se i ovenstående output alle HTTP headers transmission vises i deres blodige detaljer. Det er dog svært at analysere, så lad os se, hvad der sker, når du anvender byline-tilstand -W.

7. Sådan udskrives et tidsstempel i form af ÅÅÅÅ/MM / DD HH: MM: SS.UUUUUU hver gang en pakke matches, skal du bruge-T-flaget.

8. For at undgå at sætte grænsefladen overvåges i promiskuøs tilstand (hvor den opfanger og læser hver netværkspakke, der ankommer i sin helhed), skal du tilføje -p flag.

$ sudo ngrep -p -W byline port 80

9. En anden vigtig mulighed er -N, som er nyttig, hvis du observerer rå eller ukendte protokoller. Det fortæller ngrep at vise subprotokolnummeret sammen med enkelttegnsidentifikator.

$ sudo ngrep -N -W byline

For mere information, se siden ngrep man.

$ man ngrep

ngrep Github repository: https://github.com/jpr5/ngrep

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.