ngrep-A Network Packet Analyzer For Linux

Ngrep (network grep) er en enkel, men kraftig nettverkspakke analysator. Det er et grep-lignende verktøy som brukes på nettverkslaget – det samsvarer med trafikk som passerer over et nettverksgrensesnitt. Den lar deg angi en utvidet vanlig eller heksadesimal uttrykk for å matche mot data nyttelaster (den faktiske informasjonen eller melding i overførte data, men ikke automatisk generert metadata) av pakker.

dette verktøyet fungerer med Ulike typer protokoller, inkludert IPv4 / 6, TCP, UDP, ICMPv4/6, IGMP samt Raw på en rekke grensesnitt. Den opererer på samme måte som tcpdump packet sniffing tool.

pakken ngrep er tilgjengelig for å installere fra standard system repositories i vanlige Linux-distribusjoner ved hjelp av pakkehåndteringsverktøy som vist.

$ sudo apt install ngrep$ sudo yum install ngrep$ sudo dnf install ngrep

etter at du har installert ngrep, kan du begynne å analysere trafikk på Linux-nettverket ved å bruke følgende eksempler.

1. Følgende kommando hjelper deg med å matche alle ping-forespørsler på standard arbeidsgrensesnittet. Du må åpne en annen terminal og prøve å pinge en annen ekstern maskin. Flagget -q forteller ngrep å jobbe stille, for ikke å sende ut annen informasjon enn pakkehoder og deres nyttelast.

du kan trykke Ctrl + C for å avslutte den.

2. For å matche bare trafikk som går til et bestemt destinasjonssted, for eksempel ‘google.com’, kjør følgende kommando, og prøv å få tilgang til den fra en nettleser.

3. Hvis du surfer på nettet, kjør deretter følgende kommando for å overvåke hvilke filer nettleseren din ber om:.

4. Hvis du vil se all aktivitet som krysser kilde-eller målport 25 (SMTP), kjører du følgende kommando.

$ sudo ngrep port 25

5. For å overvåke nettverksbasert syslog-trafikk for forekomsten av ordet “feil”, bruk følgende kommando.

 $ sudo ngrep -d any 'error' port 514

Viktig er at dette verktøyet kan konvertere tjenesteporternavn lagret i “/ etc / services ” (På Unix-lignende systemer som Linux) til portnumre. Denne kommandoen tilsvarer kommandoen ovenfor.

$ sudo ngrep -d any 'error' port syslog

6. Du kan også kjøre ngrep mot EN HTTP-server (port 80), den vil matche alle forespørsler til destinasjonsverten som vist.

som du kan se i utdataene ovenfor, vises ALLE HTTP-overskriftsoverføringer i deres gory-detaljer. Det er vanskelig å analysere skjønt, så la oss se hva som skjer når du bruker -W byline-modus.

7. For å skrive ut et tidsstempel I form AV ÅÅÅÅ/MM / DD HH: MM: SS.UUUUUU hver gang en pakke er matchet, bruk-t-flagget.

8. For å unngå å sette grensesnittet som overvåkes i promiskuøs modus(hvor det avskjærer og leser hver nettverkspakke som kommer i sin helhet), legg til flagget -p.

$ sudo ngrep -p -W byline port 80

9. Et annet viktig alternativ er -N som er nyttig hvis du observerer rå eller ukjente protokoller. Det forteller ngrep å vise sub-protokollnummeret sammen med single-character identifier.

$ sudo ngrep -N -W byline

se siden ngrep man for mer informasjon.

$ man ngrep

ngrep Github repository:https://github.com/jpr5/ngrep

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.