схватить

схватить
	вывод консоли ngrep
Разработчик(и)	Джордан Риттер
Стабильная версия	1.47 / 7 сентября 2017 г .; 6 лет назад
Репозиторий	github .с /jpr5 /ngrep ;
Написано в	С
Операционная система	Linux , Solaris , Illumos FreeBSD , NetBSD , OpenBSD , Mac OS X , дополнительные *NIX системы , Windows
Тип	Анализатор пакетов
Лицензия	BSD-стиль
Веб-сайт	https://github.com/jpr5/ngrep

ngrep ( network grep ) — анализатор сетевых пакетов, написанный Джорданом Риттером . Он имеет интерфейс командной строки и использует библиотеку pcap и GNU библиотеку регулярных выражений .

ngrep поддерживает логику фильтра пакетов Беркли ( BPF ) для выбора сетевых источников, пунктов назначения или протоколов, а также позволяет сопоставлять шаблоны или регулярные выражения в полезных данных пакетов с использованием синтаксиса GNU grep , отображая данные пакета в удобном для человека виде.

ngrep — приложение с открытым исходным кодом, исходный код которого доступен для загрузки с сайта ngrep на GitHub . Его можно скомпилировать и портировать на несколько платформ, он работает во многих UNIX-подобных операционных системах : Linux , Solaris , illumos , BSD , AIX , а также работает в Microsoft Windows . ^[4]

Функциональность

ngrep похож на tcpdump , но имеет возможность искать регулярное выражение в полезных данных пакета и отображать соответствующие пакеты на экране или консоли. Это позволяет пользователям видеть весь незашифрованный трафик, передаваемый по сети, переводя сетевой интерфейс в неразборчивый режим .

ngrep с соответствующим синтаксисом фильтра BPF может использоваться для отладки взаимодействия протоколов простого текста, таких как HTTP , SMTP , FTP , DNS и других, или для поиска определенной строки или шаблона, используя Синтаксис регулярных выражений grep . ^[5]^[6]

ngrep также можно использовать для захвата трафика в сети и хранения файлов дампа pcap или для чтения файлов, созданных другими приложениями-анализаторами, такими как tcpdump или Wireshark .

ngrep имеет различные параметры или аргументы командной строки. ngrep На странице руководства в UNIX-подобных операционных системах показан список доступных опций.

Использование ngrep

В этих примерах предполагается, что eth0 — используемый сетевой интерфейс.

Захватывайте входящий/исходящий сетевой трафик в/из интерфейса eth0 и отображайте параметры с помощью методов HTTP (TCP/80) GET или POST.

ngrep -l -q -d eth0 -i "^GET |^POST " tcp and port 80

Перехватывать входящий/исходящий сетевой трафик в/из интерфейса eth0 и отображать строку пользовательского агента HTTP (TCP/80).

ngrep -l -q -d eth0 -i "User-Agent: " tcp and port 80

Захватывайте входящий/исходящий сетевой трафик в/из интерфейса eth0 и отображайте запросы и ответы DNS (UDP/53).

ngrep -l -q -d eth0 -i "" udp and port 53

Безопасность

Для захвата необработанного сетевого трафика с интерфейса требуются специальные привилегии или права суперпользователя на некоторых платформах, особенно в Unix-подобных системах. Поведение ngrep по умолчанию заключается в отмене привилегий на этих платформах, работающих под определенным непривилегированным пользователем.

Как и tcpdump, ngrep также можно использовать для конкретной цели — перехвата и отображения сообщений другого пользователя, компьютера или всей сети.

Привилегированный пользователь, запускающий ngrep на сервере или рабочей станции, подключенный к устройству, настроенному с зеркалированием портов на коммутаторе , маршрутизаторе или шлюзе , или подключенный к любому другому устройству, используемому для захвата сетевого трафика в LAN , MAN или WAN , может просматривать все незашифрованная информация, связанная с идентификаторами входа в систему, паролями или URL-адресами , а также содержимым веб-сайтов, просматриваемых в этой сети.

Поддерживаемые протоколы

IPv4 и IPv6 , Интернет-протокол версии 4 и версии 6.
TCP , протокол управления передачей
UDP , протокол пользовательских датаграмм
ICMPv4 и ICMPv6 , протокол управляющих сообщений Интернета версии 4 и версии 6.
IGMP , протокол управления интернет-группами
Ethernet , IEEE 802.3
PPP , протокол «точка-точка»
SLIP , Интернет-протокол последовательной линии
FDDI , протокол распределения данных по оптоволокну
Маркерное кольцо , IEEE 802.5

См. также

Сравнение анализаторов пакетов
snoop — командной строки анализатор пакетов , входящий в состав Solaris и Illumos.
dsniff — анализатор пакетов и набор инструментов анализа трафика.
netsniff-ng — бесплатный сетевой инструментарий для Linux.
etherape , инструмент сетевого картографирования, основанный на перехвате трафика.
tcptrace — инструмент для анализа журналов, созданных tcpdump.
Microsoft Network Monitor , анализатор пакетов
xplico — инструмент сетевого криминалистического анализа .

Ссылки

^ «Выпуск V1_47» . Проверено 18 февраля 2018 г.
^ Файл LICENSE.txt в архиве.
^ https://api.github.com/repos/jpr5/ngrep . Проверено 29 июля 2018 г. {{cite web}}: Отсутствует или пусто |title= ( помощь )
^ платформы, поддерживаемые ngrep
^ ngrep и регулярные выражения
^ использование ngrep

Внешние ссылки

[wikidata-79d207e1c24b8fa9bc741b2d30eae1f68a740faa-v13-1] «Выпуск V1_47» . Проверено 18 февраля 2018 г.

[2] Файл LICENSE.txt в архиве.

[wikidata-c6a2cd41a2f6c88fb0ebad996e50a56ef33f54b8-v13-3] ttps://api.github.com/repos/jpr5/ngrep . Проверено 29 июля 2018 г. {{cite web}}: Отсутствует или пусто |title= ( помощь )

[r4-4] платформы, поддерживаемые ngrep

[r2-5] rep и регулярные выражения

[r3-6] использование ngrep

[1]

[2]

[3]

[4]

[5]

[6]