Ağ analizi : ngrep kullanımı

Ngrep nedir?

Birçok sebepten ötürü ağımızı analiz etmek isteyebiliriz.Bu saldırı sırasında,saldırı sonrasında veya meraktan da olabilir. Bu yüzden işimizi kolaylaştırmak için ağ analizinde kullanılan bir takım araçlar mevcut. Ngrep bildiğimiz grep’in network versiyonudur. HTTP, SMTP, FTP gibi her türlü ağ trafiğini izlemek ve analiz etmek için kullanılır.

 

Kurulum:

apt install ngrep

 

Örnek:

ngrep -d any port 80

80. port ile ilgili tüm trafiği ekrana basacaktır. -d ile ağ kartını belirttik (eth0,wlan0 vb.)

Bu çıktının karmaşık göründüğünü biliyorum bu yüzden daha rahat anlaşılması için bir parametre daha ekleyelim.

ngrep -d any -W Byline port 80

Tüm SMTP trafiğini görmek için

ngrep -d any port 25

ngrep BPF filtreleme mantığını destekler bu sayede and or ve not ifadelerini kullanarak host,network,port,destination,source gibi değişkenlerle filtreleme işlemi yapabiliriz.

ngrep -d wlan0 port 1234 or 4321 and host 12.12.12.12

Hedef yada kaynak portu 1234 veya 4321 olan hedef yada kaynak IP’si 12.12.12.12 olan paketleri görüyoruz. Şimdi kaynak ip ve hedef ip belli olsun.

ngrep -d wlan0 port 4444 and src 192.168.1.212 and dst 192.168.1.54

4444. porttan 192.168.1.212 den 192.168.1.54 e giden paketleri görüyoruz.Şimdi kaynağı 192.168.1.212 olan ama hedefi 192.168.1.54 olmayan paketlere bakalım.

ngrep -d wlan0 port 54321 and src 192.168.1.212 and dst not 192.168.1.54

Trafiğin kaydedilmesi

ngrep -O /root/http.dump -d any port http

Dikkat ederseniz port kısmına http yazdım. Port’u sayı şeklinde değilde servis olarak da yazabilirsiniz.

Örnek Çıktı:

Daha önce kaydedilmiş dosyayı şu komut ile açabiliriz.

ngrep -I dosya_adi

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir