本篇介紹如何使用 ngrep 這個 Linux 網路封包分析工具,以正規表示法等方式篩選與擷取封包資料。
ngrep(network grep)是一個簡單易用且功能強大的網路封包分析工具,它有點類似 Linux 的 grep 指令,可以使用正規表示法來批配網路封包中的資料(payloads),抓取出實際含有指定資料的封包,對於熟悉 grep、tcpdump 或 wireshark 的人來說,非常容易上手使用。
ngrep 支援各種常見的通訊協定,包含 IPv4/6、TCP、UDP、ICMPv4/6、IGMP 等,對於網路管理者來說,是一個非常實用的網管工具。
ngrep大部分 Linux 發行版的套件庫都有收錄 ngrep 這個工具,若要安裝的話就執行各種 Linux 版本所對應的指令即可:
sudo apt install ngrep # Debian/Ubuntu sudo yum install ngrep # RHEL/CentOS sudo dnf install ngrep # Fedora 22+
如果要查看它的原始碼,可以從 ngrep 的 GitHub 網站上查看。
ngrepngrep 的使用方式很彈性,而基本的語法結構如下:
ngrep [參數] [批配規則] [BPF 規則]
其中批配規則可以使用正規表示法或是十六進為的資料,而BPF 規則則是指定封包的類型(例如協定種類或連接埠等),以下是一些常見的使用範例。
若要監看所有含有 HTTP 字樣的封包,可以執行:
# 監看含有 HTTP 字樣的封包 sudo ngrep -q 'HTTP'
若要加上時間戳記,可以使用 -t 參數:
# 加上時間戳記 sudo ngrep -qt 'HTTP'
在查看封包內部的文字資料時,可以使用 -W 參數將換行模式指定為 byline,這樣可以讓版面更好閱讀:
# 保持原始資料的換行 sudo ngrep -q -Wbyline 'HTTP'
若要監看所有 SMTP 郵件傳送(port 25)的封包,可以執行:
# 監看所有 port 25 的封包 ngrep -d any port 25
若要監看含有 error 字樣的 syslog 封包,可以執行:
# 監看含有 error 字樣的 syslog 封包 ngrep -d any 'error' port syslog
若要篩選來源或目的 IP 位址為 192.168 開頭的封包,可以使用這樣的 BPF 規則:
# 來源或目的 IP 位址為 192.168 開頭的封包 sudo ngrep -q 'HTTP' 'host 192.168'
若只要篩選目的 IP 位址為 192.168 開頭的封包,則可以這樣寫:
# 目的 IP 位址為 192.168 開頭的封包 sudo ngrep -q 'HTTP' 'dst host 192.168'
若只要篩選來源 IP 位址為 192.168 開頭的封包,則可以這樣寫:
# 來源 IP 位址為 192.168 開頭的封包 sudo ngrep -q 'HTTP' 'src host 192.168'
若在查看封包時,只要篩選某一類通訊協定的封包,可以這樣寫:
# 篩選 TCP 封包 sudo ngrep -q 'HTTP' 'tcp' # 篩選 UDP 封包 sudo ngrep -q 'HTTP' 'udp' # 篩選 ICMP 封包 sudo ngrep -q 'HTTP' 'icmp'
若要將符合條件的封包資料儲存下來,可以使用 -O 參數指定儲存的 pcap 檔案:
# 儲存封包資料 sudo ngrep -O output.pcap -q 'HTTP'
若要從已經儲存下來的 pcap 檔案中,篩選出指定的內容,可以使用 -I 參數指定 pcap 檔案的位置:
# 從檔案讀取封包資料 ngrep -I input.pcap -qt 'HTTP'
