ngrep — analizator pakietów sieciowych dla systemu Linux
Ngrep (network grep) to prosty, ale potężny analizator pakietów sieciowych. Jest to narzędzie przypominające grep, stosowane w warstwie sieciowej – dopasowuje ruch przechodzący przez interfejs sieciowy. Umożliwia określenie rozszerzonego wyrażenia regularnego lub szesnastkowego w celu dopasowania do ładunków danych (rzeczywistych informacji lub wiadomości w przesyłanych danych, ale nie automatycznie generowanych metadanych) pakietów.
Narzędzie to współpracuje z różnymi typami protokołów, w tym IPv4/6, TCP, UDP, ICMPv4/6, IGMP, a także Raw na wielu interfejsach. Działa w taki sam sposób, jak narzędzie do wąchania pakietów tcpdump.
Pakiet ngrep można zainstalować z domyślnych repozytoriów systemowych w głównych dystrybucjach Linuksa za pomocą narzędzia do zarządzania pakietami, jak pokazano.
sudo apt install ngrep
sudo yum install ngrep
sudo dnf install ngrep
Po zainstalowaniu ngrep możesz rozpocząć analizę ruchu w sieci Linux, korzystając z poniższych przykładów.
1. Poniższe polecenie pomoże Ci dopasować wszystkie żądania ping w domyślnym działającym interfejsie. Musisz otworzyć inny terminal i spróbować pingować inną zdalną maszynę. Flaga -q
mówi ngrep, aby działał cicho i nie wyświetlał żadnych informacji poza nagłówkami pakietów i ich ładunkiem.
sudo ngrep -q '.' 'icmp'
interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( icmp ) and ((ip || ip6) || (vlan && (ip || ip6)))
match: .
I 192.168.0.104 -> 192.168.0.103 8:0
]...~oG[....j....................... !"#$%&'()*+,-./01234567
I 192.168.0.103 -> 192.168.0.104 0:0
]...~oG[....j....................... !"#$%&'()*+,-./01234567
I 192.168.0.104 -> 192.168.0.103 8:0
]....oG[............................ !"#$%&'()*+,-./01234567
I 192.168.0.103 -> 192.168.0.104 0:0
]....oG[............................ !"#$%&'()*+,-./01234567
Możesz nacisnąć Ctrl + C
, aby zakończyć.
2. Aby dopasować tylko ruch kierowany do określonej witryny docelowej, na przykład „google.com”, uruchom następujące polecenie, a następnie spróbuj uzyskać do niego dostęp z przeglądarki.
sudo ngrep -q '.' 'host google.com'
interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( host google.com ) and ((ip || ip6) || (vlan && (ip || ip6)))
match: .
T 172.217.160.174:443 -> 192.168.0.103:54008 [AP]
..................;.(...RZr..$....s=..l.Q+R.U..4..g.j..I,.l..:{y.a,....C{5>[email ..
T 172.217.160.174:443 -> 192.168.0.103:54008 [AP]
.............l.......!,0hJ....0.%F..!...l|.........PL..X...t..T.2DC..... ..y...~Y;[email
3. Jeśli surfujesz po Internecie, uruchom następujące polecenie, aby sprawdzić, jakich plików żąda Twoja przeglądarka:.
sudo ngrep -q '^GET .* HTTP/1.[01]'
interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ((ip || ip6) || (vlan && (ip || ip6)))
match: ^GET .* HTTP/1.[01]
T 192.168.0.104:43040 -> 172.217.160.174:80 [AP]
GET / HTTP/1.1..Host: google.com..User-Agent: Links (2.13; Linux 4.17.6-1.el7.elrepo.x86_64 x86_64;
GNU C 4.8.5; text)..Accept: */*..Accept-Language: en,*;q=0.1..Accept-
Encoding: gzip, deflate, bzip2..Accept-Charset: us-ascii,ISO-8859-1,ISO-8859-2,ISO-8859-3,ISO-8859-4,
ISO-8859-5,ISO-8859-6,ISO-8859-7,ISO-8859-8,ISO-8859-9,ISO-8859-10,I
SO-8859-13,ISO-8859-14,ISO-8859-15,ISO-8859-16,windows-1250,windows-1251,windows-1252,windows-1256,
windows-1257,cp437,cp737,cp850,cp852,cp866,x-cp866-u,x-mac,x-mac-ce,x-
kam-cs,koi8-r,koi8-u,koi8-ru,TCVN-5712,VISCII,utf-8..Connection: keep-alive....
4. Aby zobaczyć całą aktywność przechodzącą przez port źródłowy lub docelowy 25 (SMTP), uruchom następujące polecenie.
sudo ngrep port 25
5. Aby monitorować ruch syslog w sieci pod kątem wystąpienia słowa „błąd”, użyj następującego polecenia.
sudo ngrep -d any 'error' port 514
Co ważne, to narzędzie może konwertować nazwy portów usług przechowywane w „/etc/services ” (w systemach uniksowych, takich jak Linux) na numery portów. To polecenie jest równoważne z powyższym poleceniem.
sudo ngrep -d any 'error' port syslog
6. Możesz także uruchomić ngrep na serwerze HTTP (port 80), dopasuje on wszystkie żądania do hosta docelowego, jak pokazano.
sudo ngrep port 80
interface: eth0 (64.90.164.72/255.255.255.252)
filter: ip and ( port 80 )
####
T 67.169.59.38:42167 -> 64.90.164.74:80 [AP]
GET / HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux i
686) Opera 7.21 [en]..Host: www.darkridge.com..Accept: text/html, applicat
ion/xml;q=0.9, application/xhtml+xml;q=0.9, image/png, image/jpeg, image/gi
f, image/x-xbitmap, */*;q=0.1..Accept-Charset: iso-8859-1, utf-8, utf-16, *
;q=0.1..Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0..Cookie: SQ
MSESSID=5272f9ae21c07eca4dfd75f9a3cda22e..Cookie2: $Version=1..Connection:
Keep-Alive, TE..TE: deflate, gzip, chunked, identity, trailers....
##
Jak widać na powyższym wyjściu, wszystkie transmisje nagłówków HTTP są wyświetlane z krwawymi szczegółami. Trudno to jednak przeanalizować, więc przyjrzyjmy się, co się stanie, gdy zastosujesz tryb wiersza wiersza -W
.
sudo ngrep -W byline port 80
interface: eth0 (64.90.164.72/255.255.255.252)
filter: ip and ( port 80 )
####
T 67.169.59.38:42177 -> 64.90.164.74:80 [AP]
GET / HTTP/1.1.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux i686) Opera ...
Host: www.darkridge.com.
Accept: text/html, application/xml;q=0.9, application/xhtml+xml;q=0.9 ...
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1.
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0.
Cookie: SQMSESSID=5272f9ae21c07eca4dfd75f9a3cda22e.
Cookie2: $Version=1.
Cache-Control: no-cache.
Connection: Keep-Alive, TE.
TE: deflate, gzip, chunked, identity, trailers.
7. Aby wydrukować znacznik czasu w postaci RRRR/MM/DD HH:MM:SS.UUUUUU za każdym razem, gdy pakiet jest dopasowywany, użyj flagi -t.
sudo ngrep -t -W byline port 80
interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( port 80 ) and ((ip || ip6) || (vlan && (ip || ip6)))
####
T 2018/07/12 16:33:19.348084 192.168.0.104:43048 -> 172.217.160.174:80 [AP]
GET / HTTP/1.1.
Host: google.com.
User-Agent: Links (2.13; Linux 4.17.6-1.el7.elrepo.x86_64 x86_64; GNU C 4.8.5; text).
Accept: */*.
Accept-Language: en,*;q=0.1.
Accept-Encoding: gzip, deflate, bzip2.
Accept-Charset: us-ascii,ISO-8859-1,ISO-8859-2,ISO-8859-3,ISO-8859-4,ISO-8859-5,utf-8.
Connection: keep-alive.
8. Aby uniknąć przełączania monitorowanego interfejsu w tryb mieszany (w którym przechwytuje i odczytuje każdy przychodzący pakiet sieciowy w całości), dodaj flagę -p
.
sudo ngrep -p -W byline port 80
9. Inną ważną opcją jest -N
, która jest przydatna w przypadku obserwacji nieprzetworzonych lub nieznanych protokołów. Mówi ngrep, aby wyświetlił numer podprotokołu wraz z jednoznakowym identyfikatorem.
sudo ngrep -N -W byline
Więcej informacji znajdziesz na stronie podręcznika ngrep.
man ngrep
Repozytorium ngrep Github: https://github.com/jpr5/ngrep
To wszystko! Ngrep (network grep) to analizator pakietów sieciowych, który rozumie logikę filtru BPF w ten sam sposób tcpdump. Chcielibyśmy poznać Twoje przemyślenia na temat ngrep w sekcji komentarzy.