ngrep komutu, bildiğimiz grep komutunun network versiyonudur. Başlıkta da belirttiğim gibi ağ trafiğini inceleme işlemlerinde kullanılır.
Kullanımı sırasında regex işlemlerine izin vermektedir. Yani data paketleri içerisinde arama da yapabiliyoruz. HTTP, SMTP, FTP gibi her türlü ağ trafiğini izlemek ve analiz etmek için kullanılmaktadır. Ayrıca kaynak ve port seçmemize de olanak sağlıyor.
Kurulumu şu şekildedir;
yum install ngrep
Kullanımı için bir kaç örnek vermek gerekirse;
ngrep -d any port 80
80. port ile ilgili tüm trafiği ekrana basacaktır. -d parametresi host üzerinde bulunan tüm network interfaceleri üzerindeki trafiği görmek için eklenmiştir, özelleştirmek için -d eth0diyerek özel bir interface üzerindeki trafiği görebiliriz.
Çıktıları gözümüze biraz karmaşık gelebilir. O yüzden, çıktıları satır satır görmek için, -W Bylineparametresini de ekleyebiliriz.
ngrep -d any -W Byline port 80
ngrep -t 'USER' 'tcp and port 110' ngrep -t '^(GET|POST) ' 'src host 12.13.14.15 and tcp and dst port 80' ngrep -d lo -wi "" port 3306 ngrep -d eth0 -i 'select' port 3306 ngrep -d any port 25 ngrep -d any 'error' port syslog ngrep -wi -d any 'user|pass' port 21 ngrep not port 22 | strings 8
Detayları için bu sayfayı ziyaret edebilirsiniz : http://ngrep.sourceforge.net/usage.html