Ngrep nedir?
Birçok sebepten ötürü ağımızı analiz etmek isteyebiliriz.Bu saldırı sırasında,saldırı sonrasında veya meraktan da olabilir. Bu yüzden işimizi kolaylaştırmak için ağ analizinde kullanılan bir takım araçlar mevcut. Ngrep bildiğimiz grep’in network versiyonudur. HTTP, SMTP, FTP gibi her türlü ağ trafiğini izlemek ve analiz etmek için kullanılır.
Kurulum:
Örnek:
80. port ile ilgili tüm trafiği ekrana basacaktır. -d ile ağ kartını belirttik (eth0,wlan0 vb.)
Bu çıktının karmaşık göründüğünü biliyorum bu yüzden daha rahat anlaşılması için bir parametre daha ekleyelim.
Tüm SMTP trafiğini görmek için
ngrep BPF filtreleme mantığını destekler bu sayede and or ve not ifadelerini kullanarak host,network,port,destination,source gibi değişkenlerle filtreleme işlemi yapabiliriz.
Hedef yada kaynak portu 1234 veya 4321 olan hedef yada kaynak IP’si 12.12.12.12 olan paketleri görüyoruz. Şimdi kaynak ip ve hedef ip belli olsun.
4444. porttan 192.168.1.212 den 192.168.1.54 e giden paketleri görüyoruz.Şimdi kaynağı 192.168.1.212 olan ama hedefi 192.168.1.54 olmayan paketlere bakalım.
Trafiğin kaydedilmesi
Dikkat ederseniz port kısmına http yazdım. Port’u sayı şeklinde değilde servis olarak da yazabilirsiniz.
Örnek Çıktı:
Daha önce kaydedilmiş dosyayı şu komut ile açabiliriz.