एनक्रेप - लिनक्स के लिए एक नेटवर्क पैकेट विश्लेषक

Ngrep ( नेटवर्क grep ) एक सरल लेकिन शक्तिशाली नेटवर्क पैकेट विश्लेषक है। यह एक grep जैसा उपकरण है जिसे नेटवर्क लेयर पर लागू किया जाता है - यह नेटवर्क इंटरफ़ेस पर गुजरने वाले ट्रैफ़िक से मेल खाता है। यह आपको पैकेटों के डेटा पेलोड (वास्तविक जानकारी या संदेश, लेकिन ऑटो-जेनरेटेड मेटाडेटा नहीं) के विरुद्ध मेल करने के लिए एक विस्तारित नियमित या हेक्साडेसिमल अभिव्यक्ति निर्दिष्ट करने की अनुमति देता है।

यह उपकरण विभिन्न प्रकार के प्रोटोकॉल के साथ काम करता है, जिसमें आईपीवी 4/6, टीसीपी, यूडीपी, आईसीएमपीवी 4/6, आईजीएमपी और साथ ही कई इंटरफेस शामिल हैं। यह उसी तरीके से संचालित होता है जैसे tcpdump पैकेट सूँघने का उपकरण।

पैकेज ngrep मुख्य लिनक्स वितरण में डिफ़ॉल्ट सिस्टम रिपोजिटरी से स्थापित करने के लिए उपलब्ध है, जैसा कि पैकेज प्रबंधन उपकरण का उपयोग करके दिखाया गया है।

$ sudo apt install ngrep
$ sudo yum install ngrep
$ sudo dnf install ngrep

ngrep स्थापित करने के बाद, आप निम्न उदाहरणों का उपयोग करके अपने लिनक्स नेटवर्क पर यातायात का विश्लेषण शुरू कर सकते हैं।

1। निम्न आदेश आपको डिफ़ॉल्ट कामकाजी इंटरफ़ेस पर सभी पिंग अनुरोधों से मेल खाने में मदद करेगा। आपको एक और टर्मिनल खोलने और किसी अन्य दूरस्थ मशीन को पिंग करने का प्रयास करने की आवश्यकता है। पैकेट हेडर और उनके पेलोड के अलावा किसी भी जानकारी को आउटपुट नहीं करने के लिए -q ध्वज बताता है कि ngrep चुपचाप काम करता है।

$ sudo ngrep -q '.' 'icmp'

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( icmp ) and ((ip || ip6) || (vlan && (ip || ip6)))
match: .

I 192.168.0.104 -> 192.168.0.103 8:0
  ]...~oG[....j....................... !"#$%&'()*+,-./01234567                                                                                                             

I 192.168.0.103 -> 192.168.0.104 0:0
  ]...~oG[....j....................... !"#$%&'()*+,-./01234567                                                                                                             

I 192.168.0.104 -> 192.168.0.103 8:0
  ]....oG[............................ !"#$%&'()*+,-./01234567                                                                                                             

I 192.168.0.103 -> 192.168.0.104 0:0
  ]....oG[............................ !"#$%&'()*+,-./01234567  

इसे समाप्त करने के लिए आप Ctrl + C दबा सकते हैं।

2। किसी विशेष गंतव्य स्थल पर जाने वाले केवल ट्रैफ़िक से मेल खाने के लिए, उदाहरण के लिए strong google.com ', निम्न कमांड चलाएँ, फिर इसे ब्राउज़र से एक्सेस करने का प्रयास करें।

$ sudo ngrep -q '.' 'host google.com'

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( host google.com ) and ((ip || ip6) || (vlan && (ip || ip6)))
match: .

T 172.217.160.174:443 -> 192.168.0.103:54008 [AP]
  ..................;.(...RZr..$....s=..l.Q+R.U..4..g.j..I,.l..:{y.a,....C{5>[email                                                                        

T 172.217.160.174:443 -> 192.168.0.103:54008 [AP]
  .............l.......!,0hJ....0.%F..!...l|.........PL..X...t..T.2DC..... ..y...~Y;[email 

3। यदि आप वेब सर्फिंग कर रहे हैं, तो यह देखने के लिए निम्नलिखित कमांड चलाएं कि आपका ब्राउज़र कौन सी फाइल का अनुरोध कर रहा है:।

$ sudo ngrep -q '^GET .* HTTP/1.[01]'

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ((ip || ip6) || (vlan && (ip || ip6)))
match: ^GET .* HTTP/1.[01]

T 192.168.0.104:43040 -> 172.217.160.174:80 [AP]
  GET / HTTP/1.1..Host: google.com..User-Agent: Links (2.13; Linux 4.17.6-1.el7.elrepo.x86_64 x86_64; 
  GNU C 4.8.5; text)..Accept: */*..Accept-Language: en,*;q=0.1..Accept-
  Encoding: gzip, deflate, bzip2..Accept-Charset: us-ascii,ISO-8859-1,ISO-8859-2,ISO-8859-3,ISO-8859-4,
  ISO-8859-5,ISO-8859-6,ISO-8859-7,ISO-8859-8,ISO-8859-9,ISO-8859-10,I
  SO-8859-13,ISO-8859-14,ISO-8859-15,ISO-8859-16,windows-1250,windows-1251,windows-1252,windows-1256,
  windows-1257,cp437,cp737,cp850,cp852,cp866,x-cp866-u,x-mac,x-mac-ce,x-
  kam-cs,koi8-r,koi8-u,koi8-ru,TCVN-5712,VISCII,utf-8..Connection: keep-alive.... 

4। सभी गतिविधि पार करने के स्रोत या गंतव्य पोर्ट देखने के लिए 25 ( SMTP ), निम्न कमांड चलाएँ।

$ sudo ngrep port 25

5। शब्द की घटना के लिए किसी भी नेटवर्क-आधारित syslog यातायात की निगरानी के लिए "त्रुटि" , निम्न आदेश का उपयोग करें।

 
$ sudo ngrep -d any 'error' port 514

महत्वपूर्ण रूप से, यह टूल पोर्ट नंबरों में संग्रहीत सेवा पोर्ट नामों को "/ etc/सेवाओं" (यूनिक्स जैसे सिस्टम पर) में बदल सकता है। यह कमांड उपरोक्त कमांड के बराबर है।

$ sudo ngrep -d any 'error' port syslog

6। आप एक HTTP सर्वर (पोर्ट 80 ) के खिलाफ भी चला सकते हैं, यह दिखाए गए गंतव्य होस्ट के सभी अनुरोधों से मेल खाएगा।

$ sudo ngrep port 80

interface: eth0 (64.90.164.72/255.255.255.252)
filter: ip and ( port 80 )
####
T 67.169.59.38:42167 -> 64.90.164.74:80 [AP]
  GET / HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux i
  686) Opera 7.21  [en]..Host: www.darkridge.com..Accept: text/html, applicat
  ion/xml;q=0.9, application/xhtml+xml;q=0.9, image/png, image/jpeg, image/gi
  f, image/x-xbitmap, */*;q=0.1..Accept-Charset: iso-8859-1, utf-8, utf-16, *
  ;q=0.1..Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0..Cookie: SQ
  MSESSID=5272f9ae21c07eca4dfd75f9a3cda22e..Cookie2: $Version=1..Connection:
  Keep-Alive, TE..TE: deflate, gzip, chunked, identity, trailers....
##

जैसा कि आप उपरोक्त आउटपुट में देख सकते हैं कि सभी HTTP हेडर ट्रांसमिशन उनके गोर विस्तार में प्रदर्शित किए गए हैं। हालाँकि यह पार्स करना मुश्किल है, इसलिए आइए देखें कि जब आप लागू करते हैं तो क्या होता है -W byline मोड।

$ sudo ngrep -W byline port 80

interface: eth0 (64.90.164.72/255.255.255.252)
filter: ip and ( port 80 )
####
T 67.169.59.38:42177 -> 64.90.164.74:80 [AP]
GET / HTTP/1.1.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux i686) Opera ...
Host: www.darkridge.com.
Accept: text/html, application/xml;q=0.9, application/xhtml+xml;q=0.9 ...
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1.
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0.
Cookie: SQMSESSID=5272f9ae21c07eca4dfd75f9a3cda22e.
Cookie2: $Version=1.
Cache-Control: no-cache.
Connection: Keep-Alive, TE.
TE: deflate, gzip, chunked, identity, trailers.

7। YYYY/MM/DD HH: MM: SS.UUUUUU के रूप में प्रिंट करने के लिए हर बार एक पैकेट से मिलान होने पर, -t ध्वज का उपयोग करें।

$ sudo ngrep -t -W byline port 80

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( port 80 ) and ((ip || ip6) || (vlan && (ip || ip6)))
####
T 2018/07/12 16:33:19.348084 192.168.0.104:43048 -> 172.217.160.174:80 [AP]
GET / HTTP/1.1.
Host: google.com.
User-Agent: Links (2.13; Linux 4.17.6-1.el7.elrepo.x86_64 x86_64; GNU C 4.8.5; text).
Accept: */*.
Accept-Language: en,*;q=0.1.
Accept-Encoding: gzip, deflate, bzip2.
Accept-Charset: us-ascii,ISO-8859-1,ISO-8859-2,ISO-8859-3,ISO-8859-4,ISO-8859-5,utf-8.
Connection: keep-alive.

8। इंटरफ़ेस को प्रॉम्पस मोड में मॉनिटर किए जाने से बचने के लिए (जहां यह प्रत्येक नेटवर्क पैकेट को अपनी संपूर्णता में आता है, जिसे इंटरसेप्ट और रीड करता है), -p फ्लैग जोड़ें।

$ sudo ngrep -p -W byline port 80

9। एक अन्य महत्वपूर्ण विकल्प है -N जो आपके द्वारा कच्चे या अज्ञात प्रोटोकॉल का पालन करने की स्थिति में उपयोगी है। यह एकल-वर्ण पहचानकर्ता के साथ उप-प्रोटोकॉल संख्या प्रदर्शित करने के लिए ngrep बताता है।

$ sudo ngrep -N -W byline

अधिक जानकारी के लिए, ngrep मैन पेज देखें।

$ man ngrep

ngrep गितुब भंडार: https://github.com/jpr5/ngrep

बस इतना ही! Ngrep ( नेटवर्क grep ) एक नेटवर्क पैकेट विश्लेषक है जो उसी फैशन tcpdump में BPF फ़िल्टर तर्क को समझता है। हम टिप्पणी अनुभाग में ngrep के बारे में आपके विचार जानना चाहेंगे।