ngrep komutu ve kullanımı
Network grep(ngrep), ağ paketlerini daha hızlı aramanıza ve filtrelemenize izin veren harika bir programdır. Tanınmış Linux grep programına biraz benzerlik var. Ngrep, canlı trafiği veya kaydedilen bilgisayar kayıtlarını analiz edebilir.
Ngrep şu anda IPv4 / 6, TCP, UDP, ICMPv4 / 6 ve IGMP’yi tanımaktadır.
Basit Packet Sniffing:
$ ngrep -d any port 25 $ ngrep -d any 'error' port syslog $ ngrep -wi -d any 'user|pass' port 21
HTTP Ayıklama:
$ ngrep port 80 $ ngrep -W byline port 80
PCAP dump dosyası alma:
$ ngrep -O /tmp/dns.dump -d any -T port domain $ ngrep -w 'm' -I /tmp/dns.dump $ ngrep -tD ns3 -I /tmp/dns.dump $ ngrep -I /tmp/dns.dump port 80
SSH hariç tüm trafiği izleme:
$ ngrep not port 22 | strings 8
Belirli bir host’tan gelen tüm trafiği izleme:
$ ngrep host 192.168.0.103
eth0 üzerindeki gelen/giden tüm HTTP (TCP/80) GET veya POST ve user-agent trafiği dinleme:
$ ngrep -l -q -d eth0 -i "^GET |^POST " tcp and port 80
$ ngrep -l -q -d eth0 -i "User-Agent: " tcp and port 80
DNS trafiği izleme:
$ ngrep -l -q -d eth0 -i "" udp and port 53
Mysql select sorgularını izleme:
$ ngrep -d eth0 -i 'select' port 3306
Syslog üzerindeki hataları izleme:
$ ngrep -d any "error" port syslog
Belirli trafiği izleme:
$ ngrep -t '^(GET|POST|HEAD) ' 'dst host 67.207.152.20 and tcp and dst port 80'