Temple Of Hackers Linux

Linux - Ngrep

 

Comando ngrep ( network-grep )


Trabalha sobre o tcpdump para se transformar em um sniffer de pacotes.
Ideal para identificar aqueles problemas mais complexos dentro da rede.


Para instalar: sudo apt-get install ngrep

Opções


-V é a informação de versão
    -q "Quieto" (não imprimir marcas de hash de pacotes de recepção)
    -e Mostrar os pacotes "vazios"
    -i Significa Ignorar alguns parametros
    -R É não fazer lógica revogação de privilégios
    -x É a impressão em formato alternativo hexdump
    -X É interpretar expressão de correspondência como hexadecimal
    -w É palavra regex (expressão deve corresponder a uma palavra)
    -p É não entrar em modo promíscuo
    -l É fazer a linha de saída tem tempo.(s)
    -D É pcap_dumps replay com seus intervalos de tempo gravados
    -t É timestamp de impressão cada vez que um pacote é compensada
    -T É impressão timestamp delta cada vez que um pacote é compensada
    -M É não fazer multi-linha jogo (fazer uma única linha ao invés jogo)
    -I É lido fluxo de pacotes de pcap pcap_dump em formato de arquivo
    -O É pacotes encontrados em formato pcap para pcap_dump
    -s É para definir o caplen bpf
    -S É definido o limitlen em pacotes combinados
    -W É definir o formato (normal, assinatura, nada, single)
    -c É forçar a largura da coluna para o tamanho especificado
    -P É definir a exibição não-imprimível char para o que está especificado
    -F É lido o filtro bpf do arquivo especificado
    -N É o número de protocolo sub
    -d É usar o dispositivo especificado em vez do padrão pcap
    -K É matar as conexões correspondentes TCP

A ferramenta é compatível com a libcap, e reconhece Ipv4/6, UDP, ICMPv4/6, IGMP, Ethernet, PPP, SLIP, FDDI, Token Ring e outros protocolos.

As opções mais comuns:

-A

-v

-d

-O

Exemplos:

Monitorando porta X
# ngrep port X ----> No lugar do X é a porta ( 80, 22, 21... )

Se vc em um terminal usar o comando ngrep port 21, e em outro terminal vc fazer uma conexão por esta porta, tudo será monitorado pelo ngrep.

Uma dica é usar o comando mas salvando em um arquivo

# ngrep -O saida.dump port X

Para salvar em um arquivo.txt por exemplo, e encerrar a sessão do terminal e ler calmamente o arquivo.txt com o cat basta dar o comando:

# ngrep port 80 > arquivo.txt

Claro que você pode váriar ( ngrep -opções > arquivo.txt )

Depois basta ler com o: cat arquivo.txt, aconselho a usar o less para melhor leitura: less arquivo.txt
 

Imprimir todos os pacotes UDP

# ngrep 'SSH' port 22

Outras interfaces

# ngrep -d eth1 ou eth2, eth3 e assim por diante

Monitorar conexões HTTP partindo de um site especifico

# ngrep -q '^GET .* HTTP/1.[01]' 'host linuxtoh.blogspot.com'


Leia também o manual: man ngrep
 

Site Oficial


Outros Links


Outros Links 2


Outros Links 3


Vídeos: 

Gostou? Então copie esse post para seu Blog:
<div class="PYB"> Linux - Ngrep</div> <div class="PYB">  </div> <b>Comando ngrep ( network-grep )</b><br /> <br /><br />Trabalha sobre o tcpdump para se transformar em um sniffer de pacotes. <br />Ideal para identificar aqueles problemas mais complexos dentro da rede.<br /> <br /> <br /> Para instalar: <b style="color: red;">sudo apt-get install ngrep</b><br /><br /><span style="font-weight: bold;">Opções</span><br /><br /><br /><span lang="pt"><span style="font-weight: bold;">-V</span> <span>é</span> <span>a informação de versão</span><br />    <span style="font-weight: bold;">-q</span> "Quieto"<span></span> <span>(não</span> <span>imprimir marcas de</span> <span>hash</span> <span>de pacotes</span> <span>de recepção</span><span>)</span><br />    <span style="font-weight: bold;">-e</span> <span>Mostrar os pacotes "vazios"</span><span></span><br />    <span style="font-weight: bold;">-i</span> <span>Significa Ignorar alguns parametros</span><span></span><span></span><span></span><span></span><br />    <span style="font-weight: bold;">-R</span> É <span>não</span> <span>fazer</span> <span>lógica</span> <span>revogação de privilégios</span><br />    <span style="font-weight: bold;">-x</span> <span>É a impressão</span> <span>em formato</span> <span>alternativo</span> <span>hexdump</span><br />    <span style="font-weight: bold;">-X</span> <span>É</span> <span>interpretar</span> <span>expressão de correspondência</span> <span>como</span> <span>hexadecimal</span><br />    <span style="font-weight: bold;">-w</span> <span>É</span> <span>palavra</span> <span>regex</span> <span>(</span><span>expressão deve</span> <span>corresponder</span> <span>a</span> <span>uma palavra)</span><br />    <span style="font-weight: bold;">-p</span> <span>É</span> <span>não entrar em</span> <span>modo promíscuo</span><br />    <span style="font-weight: bold;">-l</span> É<span> fazer</span> <span>a linha de saída tem tempo.(s)</span><span></span><br />   <span style="font-weight: bold;"> </span><span><span style="font-weight: bold;">-D</span> É </span><span></span> <span>pcap_dumps</span> <span>replay</span> <span>com seus</span> <span>intervalos de tempo</span> <span>gravados</span><br />    <span style="font-weight: bold;">-t</span><span style="font-weight: bold;"> </span><span>É</span> <span>timestamp</span> <span>de impressão</span> <span>cada</span> <span>vez que um pacote</span> <span>é compensada</span><br />    <span style="font-weight: bold;">-T</span> <span>É</span> <span>impressão</span> <span>timestamp</span> <span>delta</span> <span>cada</span> <span>vez que um pacote</span> <span>é compensada</span><br />   <span style="font-weight: bold;"> </span><span style="font-weight: bold;">-M</span><span style="font-weight: bold;"> </span><span>É</span></span><span lang="pt"><span> não fazer</span> <span>multi-</span><span>linha</span> <span>jogo (</span><span>fazer</span> <span>uma única linha</span> <span>ao invés</span> <span>jogo</span><span>)</span><br />   <span style="font-weight: bold;"> </span><span style="font-weight: bold;">-I</span><span style="font-weight: bold;"> </span><span>É lido</span> <span>fluxo de pacotes</span> <span>de</span> <span>pcap</span> <span>pcap_dump</span> <span>em formato de arquivo</span><br />   <span style="font-weight: bold;"> </span><span style="font-weight: bold;">-O</span> <span>É</span> <span>pacotes</span><span> encontrados</span> <span>em formato</span> <span>pcap</span> <span>para</span> <span>pcap_dump</span><span></span><span></span><br />    <span style="font-weight: bold;">-s</span> <span>É para</span> <span>definir o</span> <span>caplen</span> <span>bpf</span><br />    <span style="font-weight: bold;">-S</span> É<span> definido</span> <span>o</span> <span>limitlen</span> <span>em</span> <span>pacotes</span> <span>combinados</span><br />    <span><span style="font-weight: bold;">-W</span> É </span><span>definir o</span> <span>formato </span><span>(normal,</span> <span>assinatura</span><span>, nada</span><span>,</span> <span>single)</span><br />   <span style="font-weight: bold;"> </span><span><span style="font-weight: bold;">-c</span> É</span> <span>forçar</span> <span>a largura da coluna</span> <span>para o tamanho especificado</span><br />   <span style="font-weight: bold;"> </span><span style="font-weight: bold;">-P</span> <span>É</span> <span>definir a exibição</span> <span>não-imprimível</span> <span>char para</span> <span>o que está especificado</span><br />    <span style="font-weight: bold;">-F</span> É<span> lido</span> <span>o filtro</span> <span>bpf</span> <span>do arquivo especificado</span><br />    <span style="font-weight: bold;">-N</span> <span>É o </span><span>número de protocolo</span> <span>sub</span><br />    <span style="font-weight: bold;">-d</span><span style="font-weight: bold;"> </span><span>É</span> <span>usar o dispositivo</span> <span>especificado</span> <span>em vez do padrão</span> <span>pcap</span><br />    <span style="font-weight: bold;">-K</span> <span>É matar</span> <span>as conexões correspondentes</span> <span>TCP</span></span><br /> <br /> <span lang="pt"><span>A ferramenta é compatível com a libcap, e reconhece Ipv4/6, UDP, ICMPv4/6, IGMP, Ethernet, PPP, SLIP, FDDI, Token Ring e outros protocolos.</span></span><br /> <br /> <span lang="pt"><span>As opções mais comuns:</span></span><br /> <br /> <div style="color: red;"> <b><span lang="pt"><span>-A</span></span></b></div> <div style="color: red;"> <b><span lang="pt"><span>-v</span></span></b></div> <div style="color: red;"> <b><span lang="pt"><span>-d</span></span></b></div> <span lang="pt"><span><b><span style="color: red;">-O </span></b></span></span><br /> <br /> <span style="font-weight: bold;">Exemplos:</span><br /> <br /> Monitorando porta X<br /> # <span style="color: red; font-weight: bold;">ngrep port X</span><span style="font-weight: bold;"> ----> No lugar do </span><span style="color: red; font-weight: bold;">X </span><span style="font-weight: bold;">é a porta ( </span><span style="color: red; font-weight: bold;">80</span><span style="font-weight: bold;">,</span><span style="font-weight: bold;"> </span><span style="color: red; font-weight: bold;">22</span><span style="font-weight: bold;">, </span><span style="color: red; font-weight: bold;">21</span><span style="font-weight: bold;">... )</span><br /><br />Se vc em um terminal usar o comando<span style="color: red;"> <span style="font-weight: bold;">ngrep port 21</span></span>, e em outro terminal vc fazer uma conexão por esta porta, tudo será monitorado pelo ngrep.<br /> <br /> Uma dica é usar o comando mas salvando em um arquivo<br /> <br /> # <b style="color: red;">ngrep -O saida.dump port X</b><br /> <br /> Para salvar em um arquivo.txt por exemplo, e encerrar a sessão do terminal e ler calmamente o arquivo.txt com o cat basta dar o comando:<br /> <br /> # <b style="color: red;">ngrep port 80 > arquivo.txt</b><br /> <br /> Claro que você pode váriar ( ngrep -opções > arquivo.txt )<br /> <br /> Depois basta ler com o: <b><span style="color: red;">cat arquivo.txt</span></b>, aconselho a usar o less para melhor leitura: <b style="color: red;">less arquivo.txt</b><br />   <br /> <br /> Imprimir todos os pacotes UDP<br /> <br /> # <b style="color: red;">ngrep 'SSH' port 22</b><br /> <div style="color: red;"> <br /></div> Outras interfaces<br /> <br /> # <b style="color: red;">ngrep -d eth1</b> ou <b style="color: red;">eth2</b>, <b style="color: red;">eth3</b> e assim por diante<br /> <br /> Monitorar conexões HTTP partindo de um site especifico<br /> <br /> # <b style="color: red;">ngrep -q '^GET .* HTTP/1.[01]' 'host linuxtoh.blogspot.com'</b><br /> <br /> <br /> Leia também o manual: man ngrep <br />  <a href="http://www.blogger.com/goog_104322372"><br /></a><br /> <span lang="pt"><span> <a href="http://ngrep.sourceforge.net/">Site Oficial</a></span></span><br /> <span lang="pt"><span><br /></span></span><br /> <span lang="pt"><span><a href="http://www.istf.com.br/showthread.php/11682-NGrep-Sniffer-com-caracter%C3%ADsticas-do-Grep">Outros Links</a></span></span><br /> <span lang="pt"><span><br /></span></span><br /> <span lang="pt"><span><a href="http://linuxdicas.wikispaces.com/ngrep">Outros Links 2</a></span></span><br /> <span lang="pt"><span><br /></span></span><br /> <span lang="pt"><span><a href="http://en.wikipedia.org/wiki/Ngrep">Outros Links 3</a></span></span><br /> <span lang="pt"><span><br /></span></span><br /> <span lang="pt"><span>Vídeos: </span></span><br /> <span lang="pt"><span><br /></span></span><br /> <div class="separator" style="clear: both; text-align: center;"> <iframe allowfullscreen="allowfullscreen" frameborder="0" height="266" mozallowfullscreen="mozallowfullscreen" src="https://www.youtube.com/embed/ChFy0476qEg?feature=player_embedded" webkitallowfullscreen="webkitallowfullscreen" width="320"></iframe></div> <br /> <br /> <br /> <br /> <br /> <span lang="pt"><span><br /></span></span><br /> <div class="separator" style="clear: both; text-align: center;"> <iframe allowfullscreen="allowfullscreen" frameborder="0" height="266" mozallowfullscreen="mozallowfullscreen" src="https://www.youtube.com/embed/CqPw6Qf35ik?feature=player_embedded" webkitallowfullscreen="webkitallowfullscreen" width="320"></iframe></div> <span lang="pt"><span><br /></span></span><br /> <span lang="pt"><span> </span></span>