ngrep-een Network Packet Analyzer voor Linux

Ngrep (network grep) is een eenvoudige maar krachtige network packet analyzer. Het is een grep-achtige tool toegepast op de netwerklaag – het komt overeen met het verkeer dat over een netwerkinterface gaat. Hiermee kunt u een uitgebreide reguliere Of hexadecimale expressie opgeven om te matchen met gegevens payloads (de werkelijke informatie of bericht in verzonden gegevens, maar niet automatisch gegenereerde metadata) van pakketten.

deze tool werkt met verschillende soorten protocollen, waaronder IPv4 / 6, TCP, UDP, ICMPv4/6, IGMP en Raw op een aantal interfaces. Het werkt op dezelfde manier als tcpdump packet sniffing tool.

het pakket ngrep is beschikbaar om te installeren vanaf de standaard systeem repositories in mainstream Linux distributies met behulp van pakket management tool zoals getoond.

$ sudo apt install ngrep$ sudo yum install ngrep$ sudo dnf install ngrep

na het installeren van ngrep kunt u het verkeer op uw Linux-netwerk analyseren met behulp van de volgende voorbeelden.

1. Het volgende commando zal u helpen alle ping-verzoeken op de standaard werkinterface te matchen. Je moet een andere terminal openen en proberen een andere machine op afstand te pingen. De -q vlag vertelt ngrep om stilletjes te werken, om geen andere informatie uit te voeren dan pakketheaders en hun payloads.

u kunt op Ctrl + C drukken om het te beëindigen.

2. Om alleen het verkeer naar een bepaalde bestemming site overeenkomen, bijvoorbeeld ‘google.com’, voer de volgende opdracht, probeer dan om het te openen vanuit een browser.

3. Als u surfen op het web, voer dan de volgende opdracht om te controleren welke bestanden uw browser vraagt:.

4. Voer het volgende commando uit om alle activiteiten te zien die bron-of doelpoort 25 kruisen (SMTP).

$ sudo ngrep port 25

5. Als u netwerkgebaseerd syslog-verkeer wilt controleren op het voorkomen van het woord “error”, gebruikt u het volgende commando.

 $ sudo ngrep -d any 'error' port 514

belangrijk is dat deze tool service poortnamen die zijn opgeslagen in “/etc/services” (op Unix-achtige systemen zoals Linux) kan converteren naar poortnummers. Dit commando is gelijk aan het bovenstaande commando.

$ sudo ngrep -d any 'error' port syslog

6. U kunt ngrep ook uitvoeren tegen een HTTP server (poort 80), het zal alle verzoeken aan de bestemmingshost zoals getoond overeenkomen.

zoals u kunt zien in de bovenstaande uitvoer worden alle HTTP headers-transmissie weergegeven in hun bloederige detail. Het is echter moeilijk te ontleden, dus laten we kijken wat er gebeurt als je -W byline mode toepast.

7. Een tijdstempel afdrukken in de vorm van JJJJ/MM / DD UU: MM: SS.Uuuuuu elke keer dat een pakket wordt gematched, gebruik de-T vlag.

8. Om te voorkomen dat de interface wordt gemonitord in promiscue modus (waar het elk netwerkpakket dat in zijn geheel binnenkomt onderschept en leest), voeg je de -p vlag toe.

$ sudo ngrep -p -W byline port 80

9. Een andere belangrijke optie is -N, wat handig is voor het geval u ruwe of Onbekende protocollen observeert. Het vertelt ngrep om het subprotocol nummer samen met single-character identifier weer te geven.

$ sudo ngrep -N -W byline

voor meer informatie, zie de ngrep manpage.

$ man ngrep

ngrep GitHub repository: https://github.com/jpr5/ngrep

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.