Ngrep – Hoe zoek je netwerkverkeer op Linux – Command Examples

Ngrep

ngrep of network grep is een command line programma dat gebruikt kan worden om netwerkpakketten te analyseren en te zoeken naar een bepaald regex patroon of string.

ngrep gebruikt de PCAP-bibliotheek om netwerkpakketten vast te leggen en de gnu regex-bibliotheek om regex-zoekopdrachten uit te voeren.

ngrep is als tcpdump + grep.

in dit artikel zullen we een kort overzicht geven van enkele snelle voorbeelden van het gebruik van het ngrep commando om netwerkpakketten te doorzoeken.

Project-Url:

installeer ngrep op Ubuntu

$ sudo apt-get install ngrep

Ngrep-opdrachtvoorbeelden

1. Alle pakketten

opnemen Ngrep zonder opties zou gewoon alle pakketten vastleggen. Zijn vrij vergelijkbaar met tcpdump. Merk op dat je ngrep moet uitvoeren met sudo (root privileges) zodat het alle pakketten kan vastleggen.

$ sudo ngrep

truc om alle apparaten

te tonen als u alle netwerkapparaten wilt weergeven waarop ngrep kan ruiken, gebruik dan het volgende commando en druk meerdere keren op TAB

$ ngrep -d 

de uitvoer ziet er ongeveer zo uit:

$ ngrep -dany enp1s0 lo

2. Zoek netwerkverkeer naar string

het volgende voorbeeld zal netwerkverkeer zoeken naar TCP-pakketten met poortnummer 80 (HTTP) en de tekst “User-Agent: “bevatten. Deze specifieke tekenreeks is aanwezig in http-aanvraagpakketten.

$ sudo ngrep -d enp1s0 -i "User-Agent: " tcp and port 80

hier is een voorbeelduitvoer:

In het bovenstaande commando :
a) tcp en poort 80 – is het bpf-filter (Berkeley Packet Filter), dat alleen TCP-pakket met poortnummer 80
snuift b) de optie “- d” specificeert de interface om te snuiven. enp1s0 in dit geval.
c) “User-Agent:” is de tekenreeks om naar te zoeken. Alle pakketten met die tekenreeks worden weergegeven.
d)” – i ” negeer hoofdletters voor de zoekterm of regex

3. Zoek in netwerkpakketten naar verzoeken voor GET of POST

$ sudo ngrep -d enp1s0 -i "^GET |^POST " tcp and port 80

hier is een voorbeelduitvoer

4. DNS-pakketten

vastleggen en doorzoeken het volgende voorbeeld filtert UDP-pakketten op poort 53. Dit zijn DNS-pakketten die door toepassingen worden gebruikt om hostnaam om te zetten in ip-adressen.

$ sudo ngrep -d enp1s0 -i "" udp and port 53

hier is een voorbeeld uitvoer:

Ngrep op Windows

install Ngrep op windows

de windows-versie kan worden gedownload van de volgende url

Windows-versie gebruikt Winpcap packet capture library. Zorg er dus voor dat u eerst winpcap downloadt en installeert voordat u ngrep gebruikt.

Ngrep werkt op windows op dezelfde manier als linux/ubuntu.

de bovenstaande voorbeelden gebruikten eenvoudige tekstreeksen als de serch term.
ngrep ondersteunt echter ook regexpatronen.

conclusie

Ngrep is in sommige opzichten vergelijkbaar met tcpdump en gebruikt dezelfde packet capture bibliotheek genaamd libpcap. Deze pakketsniffers zijn erg handig wanneer je laag niveau netwerkprotocoltoepassingen ontwikkelt en moet zien of de toepassing pakketten in het juiste formaat genereert.

om meer te weten te komen over Tcpdump check deze post:
tcpdump Tutorial – Hoe te snuiven en te analyseren pakketten vanaf de Commandline

naast socket programmering, packet sniffers worden ook gebruikt in netwerkbeveiliging en audit. Ze worden gebruikt om een netwerk te controleren op ongebruikelijke verkeer en detecteren elke dreiging vroeg op.

wanneer het gebruikt wordt met ARP spoofing tools zoals ettercap, kan ngrep gebruikt worden om de gegevens van andere hosts te ruiken die verbonden zijn met het netwerk.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.