Come usare il comando ngrep Linux

Uno dei modi migliori per conoscere lo stato di un'infrastruttura IT è analizzare la sua rete, poiché lì devono passare centinaia di processi, servizi ed elementi che consentono una comunicazione ottimale tra tutti i computer e gli utenti della rete e quindi consentono che tutto funzioni come previsto. Esistono numerosi strumenti che ci aiutano a ottimizzare e monitorare tutto ciò che accade sulla rete e questo è fondamentale poiché possiamo essere un passo avanti rispetto a ciò che accade nell'ambiente di rete prima che accada e uno di questi strumenti è ngrep.

Solvetic discuterà come usare ngrep su Linux per ottenere le migliori statistiche di rete su Linux.

Cos'è ngrepNgrep è uno strumento il cui funzionamento è simile a grep che viene applicato a livello di rete e sostanzialmente corrisponde al traffico generato tramite un'interfaccia di rete. Ngrep funziona con vari tipi di protocolli come IPv4/6, TCP, UDP, ICMPv4/6, IGMP e Raw su un numero di interfacce definite e supporta la logica del filtro BPF.

Usando ngrep sarà possibile specificare un'espressione regolare o esadecimale estesa per abbinare i payload dei dati di sistema.

CompatibilitàNgrep può funzionare sui seguenti sistemi operativi:

  • Linux 2.0+ (RH6+, SuSE, TurboLinux, Debian, Gentoo, Ubuntu, Mandrake, Slackware) / x86, RedHat / alpha Cobalt, (Qube2) Linux / MIPS
  • Solaris 2.5.1, 2.6 / SPARC, Solaris 7, Solaris 8 / SPARC, Solaris 9 / SPARC
  • FreeBSD 2.2.5, 3.1, 3.2, 3.4-RC, 3.4-RELEASE, 4.0, 5.0
  • OpenBSD 2.4, 2.9, 3.0, 3.1+
  • NetBSD 1.5 / SPARC
  • Digital Unix V4.0D (OSF / 1), Tru64 5.0, Tru64 5.1A
  • HPUX 11
  • IRIX
  • AIX 4.3.3.0/PowerPC
  • BeOS R5
  • Mac OS X 10+
  • GNU HURD
  • Windows 95, 98, NT, 2000, XP, 2003 / x86, 7, 8, 8.1, 10

1. Installa il comando ngrep su Linux


Ngrep è disponibile per l'installazione dai repository di sistema predefiniti nelle distribuzioni Linux tramite lo strumento di gestione dei pacchetti, per questo eseguiremo il seguente comando per l'installazione in base alla distribuzione utilizzata.

Inseriamo la lettera S per confermare il download e l'installazione del pacchetto ngrep. Una volta completata l'installazione di ngrep, sarà possibile iniziare ad analizzare il traffico di rete su Linux e quindi accedere a informazioni vitali da questo segmento.

 sudo apt install ngrep sudo yum install ngrep sudo dnf install ngrep

INGRANDIRE

2. Usa il comando ngrep su Linux

Passo 1
Con il seguente comando sarà possibile abbinare tutte le richieste di ping nell'interfaccia di lavoro predefinita del server, per questo, dobbiamo aprire un altro terminale e pingare un'altra macchina remota. Quindi useremo il parametro -q che dice a ngrep cosa deve funzionare silenziosamente per non generare alcuna informazione diversa dalle intestazioni dei pacchetti e dai rispettivi payload, possiamo eseguire quanto segue:

 sudo ngrep -q "." "TCP" 

INGRANDIRE

Passo 2
Per completare l'acquisizione del traffico utilizziamo le seguenti chiavi:

Ctrl + C

Passaggio 3
Se vogliamo far corrispondere solo il traffico di un particolare sito di destinazione, dobbiamo eseguire il seguente comando e poi provare ad accedere a quel sito da un browser:

 sudo ngrep -q "." "Ospita google.com" 

Passaggio 4
In caso di navigazione sul web, possiamo eseguire il seguente comando per controllare i file richiesti dal browser:

 sudo ngrep -q 'GET. * HTTP / 1. [01]' 

INGRANDIRE

Passaggio 5
Per vedere tutta l'attività che viene eseguita sulla porta di origine o di destinazione 25 (SMTP), eseguiremo il seguente comando:

 sudo ngrep porta 25 

INGRANDIRE

Passaggio 6
Se vogliamo monitorare il traffico syslog basato sulla rete che corrisponde alla parola "errore", utilizzeremo il seguente comando:

 sudo ngrep -d qualsiasi porta "errore" 514 
Passaggio 7
L'utilità ngrep può convertire i nomi delle porte dei servizi memorizzati in / etc / services, (su sistemi simili a Unix come Linux) in numeri di porta. ngrep può essere eseguito su un server HTTP (porta 80), che abbinerà tutte le richieste all'host di destinazione, per questo eseguiamo:
 sudo ngrep porta 80 

INGRANDIRE

Passaggio 8
In questo risultato, tutte le trasmissioni di intestazione HTTP mostrano dettagli di indentazione, ma in questo modo la sua analisi è, per migliorare la sua gestione possiamo usare la modalità di riga -W come questa.

 sudo ngrep -W sottotitolo porta 80 

INGRANDIRE

Passaggio 9
Per stampare i risultati con data e ora in formato AAAA / MM / GG HH: MM: SSUUUUUU quando si abbina un pacchetto, sarà necessario utilizzare il parametro -T Così:

 sudo ngrep -t -W sottolinea porta 80 

Passaggio 10
Se vogliamo evitare che l'interfaccia venga monitorata in modalità promiscua, questa modalità intercetta e legge ogni pacchetto di rete che arriva in totale, sarà necessario aggiungere il flag -p:

 sudo ngrep -p -W sottolinea porta 80 
Passaggio 11
Un'altra alternativa da usare è il parametro -N che si applica se rileviamo protocolli grezzi o sconosciuti.Questo parametro ha il compito di dire a ngrep di mostrare il numero del sottoprotocollo insieme all'identificatore del singolo carattere, per questo eseguiamo:
 sudo ngrep -N -W sottotitolo 

Passaggio 12
Infine, per ottenere più aiuto da ngrep possiamo eseguire:

 uomo ngrep 
Pertanto, l'utilità ngrep diventa una soluzione ideale per monitorare tutto ciò che è associato alla rete in ambienti Linux con risultati dettagliati e completi.

wave wave wave wave wave