Trabalha sobre o tcpdump para se transformar em um sniffer de pacotes.
Ideal para identificar aqueles problemas mais complexos dentro da rede.
Para instalar: sudo apt-get install ngrep
Opções
-V é a informação de versão
-q "Quieto" (não imprimir marcas de hash de pacotes de recepção)
-e Mostrar os pacotes "vazios"
-i Significa Ignorar alguns parametros
-R É não fazer lógica revogação de privilégios
-x É a impressão em formato alternativo hexdump
-X É interpretar expressão de correspondência como hexadecimal
-w É palavra regex (expressão deve corresponder a uma palavra)
-p É não entrar em modo promíscuo
-l É fazer a linha de saída tem tempo.(s)
-D É pcap_dumps replay com seus intervalos de tempo gravados
-t É timestamp de impressão cada vez que um pacote é compensada
-T É impressão timestamp delta cada vez que um pacote é compensada
-M É não fazer multi-linha jogo (fazer uma única linha ao invés jogo)
-I É lido fluxo de pacotes de pcap pcap_dump em formato de arquivo
-O É pacotes encontrados em formato pcap para pcap_dump
-s É para definir o caplen bpf
-S É definido o limitlen em pacotes combinados
-W É definir o formato (normal, assinatura, nada, single)
-c É forçar a largura da coluna para o tamanho especificado
-P É definir a exibição não-imprimível char para o que está especificado
-F É lido o filtro bpf do arquivo especificado
-N É o número de protocolo sub
-d É usar o dispositivo especificado em vez do padrão pcap
-K É matar as conexões correspondentes TCP
A ferramenta é compatível com a libcap, e reconhece Ipv4/6, UDP, ICMPv4/6, IGMP, Ethernet, PPP, SLIP, FDDI, Token Ring e outros protocolos.
As opções mais comuns:
Exemplos:
Monitorando porta X
# ngrep port X ----> No lugar do X é a porta ( 80, 22, 21... )
Se vc em um terminal usar o comando ngrep port 21, e em outro terminal vc fazer uma conexão por esta porta, tudo será monitorado pelo ngrep.
Uma dica é usar o comando mas salvando em um arquivo
# ngrep -O saida.dump port X
Para salvar em um arquivo.txt por exemplo, e encerrar a sessão do terminal e ler calmamente o arquivo.txt com o cat basta dar o comando:
# ngrep port 80 > arquivo.txt
Claro que você pode váriar ( ngrep -opções > arquivo.txt )
Depois basta ler com o: cat arquivo.txt, aconselho a usar o less para melhor leitura: less arquivo.txt
Imprimir todos os pacotes UDP
# ngrep 'SSH' port 22
# ngrep -d eth1 ou eth2, eth3 e assim por diante
Monitorar conexões HTTP partindo de um site especifico
# ngrep -q '^GET .* HTTP/1.[01]' 'host linuxtoh.blogspot.com'
Leia também o manual: man ngrep
Site Oficial
Outros Links
Outros Links 2
Outros Links 3
Vídeos: