Linux下网络抓包工具(ngrep)

最新推荐文章于 2024-06-13 23:24:35 发布
最新推荐文章于 2024-06-13 23:24:35 发布
阅读量5.9k 收藏 14
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen1415886044/article/details/109277486
版权

做后台开发,经常需要抓取数据包,查看数据流量是否正常,在windows上可以使用Wireshark,是一个网络封包分析软件,使用WinPCAP作为接口,直接与网卡进行数据报文交换。而Linux下使用tcpdump或者ngrep。这里介绍如何使用ngrep。

使用ngrep抓包可以确定数据包是否已经到了某个服务模块,从而定位是哪个部分的问题。

ngrep介绍及安装

ngrep是一个网络抓包工具,可以用来侦听各端口的数据流入和流出。来看看man手册是如何介绍ngrep的:

DESCRIPTION
ngrep strives to provide most of GNU grep's common features, applying them to the network layer.  ngrep is a pcap-aware tool
that  will allow you to specify extended regular expressions to match against data payloads of packets.  It currently recog‐
nizes TCP, UDP and ICMP across Ethernet, PPP, SLIP, FDDI and null interfaces, and understands bpf filter logic in  the  same
fashion as more common packet sniffing tools.

大概的意思:

ngrep努力提供GNU grep的大多数通用功能,并将其应用于网络层。 ngrep是可识别pcap的工具,可让您指定扩展的正则表达式以与数据包的数据有效载荷匹配。 目前,它可以识别以太网,PPP,SLIP,FDDI和空接口上的TCP,UDP和ICMP,并以与更常见的数据包嗅探工具相同的方式理解bpf过滤器逻辑

Centos7安装ngrep

在安装ngrep之前,必须要在自己的设备上安装libpacp

yum install libpcap libpcap-devel -y

由于安装ngrep需用到libpcap库, 所以支持大量的操作系统和网络协议。最后再安装

yum  install  ngrep

安装完之后,输入ngrep来验证下安装是否成功。

在这里插入图片描述

出来这界面表示安装成功。

ngrep选项说明:

-e # 显示空数据包
-i # 忽略大小写
-v # 反转匹配
-x # 以16进制格式显示
-X # 以16进制格式匹配
-w # 整字匹配
-p # 不使用混杂模式
-l #使标准输出行缓冲
-D # 用记录的时间间隔重播pcap_dumps
-t # 在每个匹配的包之前显示时间戳
-T # 显示上一个匹配的数据包之间的时间间隔
-M # 仅进行单行匹配
-I # 从文件中读取数据进行匹配
-O # 将匹配的数据保存到文件
-n # 仅捕获指定数目的数据包进行查看
-A # 匹配到数据包后dump随后的指定数目的数据包
-s # 设置bpf caplen
-S # 在匹配的数据包上设置limitlen
-W # 设置显示格式byline将解析包中的换行符
-c # 强制显示列的宽度
-P #将不可打印的显示字符设置为指定的值
-F # 使用文件中定义的bpf(Berkeley Packet Filter)
-N # 显示由IANA定义的子协议号
-d # 使用哪个网卡,可以用-L选项查询
-L # 查询网卡接口

简单使用

首先我们可以模拟一个请求

curl -s “www.baidu.com”

在这里插入图片描述

监听指定本地网络接口的数据包

ngrep -d ens33

抓包结果:
在这里插入图片描述

可以看到,结果是抓到了www.baidu.com数据流。但是内容没有完整显示出来。ip表示 :183.232.231.172是百度的ip。端口为80

支持换行符

内容要完整显示,其示就是把换行符展示出来。
首先在另一个终端输入请求:

curl -s “www.baidu.com”

然后在另一个终端输入:

ngrep -W byline -d ens33 port 80

这条命令就是用来侦听网页的request和response,注意需要以管理员身份运行.必须是root用户。
抓包结果:
在这里插入图片描述
在这里插入图片描述

W byline是指遇到换行符时换行显示,否则数据是连续的不可读。-d ens33是指侦听ens33网卡。port 80是指侦听80端口。

抓本机网卡与ip

抓本机eth0 与192.168.32.229的通信信息,并且以行来打印出来

ngrep -d ens33 -W byline host 192.168.32.229

抓ssh包

要使用 grep 命令在 Linux 中查找指定服务的默认端口号,只需运行

grep ssh /etc/services

在这里插入图片描述
正如你在上面的输出中所看到的,SSH 服务的默认端口号是 22。

抓包结果:
在这里插入图片描述

正则过滤

上面的包其实太多了,怎么只抓 baidu的包呢,通过 -q 参数。

ngrep -Wbyline -d ens33 -q baidu port 80

在这里插入图片描述

ngrep -Wbyline -d ens33 ‘GET /’ port 80

-d使用哪个网卡,可以用-L选项查询,
在这里插入图片描述

十六进制显示

如果需要具体调试包中的 bytes,想看到 16 进制的数,怎么办呢?只需输入如下命令:

ngrep -x -d ens33 -q baidu port 80

-x 以16进制格式显示。抓包结果:
在这里插入图片描述

总结

ngrep工具是grep命令的网络版,ngrep用于抓包,并可以通过正则表达式,过滤、获取指定样式的数据包。

使用ngrep抓包可以确定数据包是否已经到了某个服务模块,从而定位是哪个部分的问题。

在这里插入图片描述
欢迎关注微信公众号【程序猿编码】,添加本人微信号(17865354792),回复:领取学习资料。或者回复:进入技术交流群。网盘资料有如下:

在这里插入图片描述

程序猿编码
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux系统下抓包工具,很方便
05-11
使用说明跟工具
抓包工具总会
09-17
抓包工具就是实现这一目标的关键工具,它们能够捕获在网络中传输的数据包,供分析者查看和解析。本资料包集合了多种抓包工具,每种工具都有其独特的功能和用途。 1. Wireshark:Wireshark是最流行的网络协议分析器...
linux命令讲解大全】075. 网络数据包分析工具ngrep及其应用
全栈若城,专注知识分享
09-06 696
ngrep是一款方便的网络数据包匹配和显示工具,它基于grep命令并提供了更多特性。ngrep支持识别TCP、UDP和ICMP包,并理解BPF过滤机制。本文介绍了ngrep的安装方法和常用选项,并给出了多个示例使用场景,如捕捉指定端口的请求和响应、查找特定字符串等。此外,文章还演示了如何使用ngrep来分析Web Flash视频中的下载地址。最后,文章给出了一个标题和256个字的内容摘要。
Linux命令行工具:ngrep命令详解,监视网络上的数据包并实时搜索过滤,准确定位网络问题和分析网络流量模式
最新发布
weixin_70208651的博客
06-13 668
网络ngrep(Network Grep)是一个强大的命令行工具,它允许用户监视网络上的数据包,并且可以像使用普通的grep一样搜索特定模式。ngrep基于grep的灵活性和强大的正则表达式支持,结合了tcpdump的网络数据包捕获功能,使得它在网络调试和流量分析方面非常有用。可以解析多种协议,如HTTP、FTP、SSH等,并显示协议特定的信息。指定端口号来过滤特定的网络流量。允许用户使用正则表达式来过滤捕获的数据包。监视网络上的数据包并实时搜索和过滤,帮助开发人员准确的定位网络问题和分析网络流量模式。
Linux 抓包工具ngrep详解
Life is just like a dream.
09-24 6683
1.需求需要在服务端抓取两客户端(117.136.x.x和202.104.x.x)与服务端(10.35.x.x)之间交互的的数据包来清楚整个交互流程。通信协议既有http也有websocket。2.ngrep 解决方法$ ngrep -q -d eth0 -W byline host 10.135.x.x and \(117.136.x.x or 202.104.x.x\) and port 8
Linux常用命令——ngrep命令
AI的博客
01-10 826
grep命令的网络版,他力求更多的grep特征,用于搜寻指定的数据包。ngrep命令的下载地址:http://ngrep.sourceforge.net/,libpcap下载地址:http://www.tcpdump.org/。地址已经找到了,就是http://f59.c31.56.com/flvdownload/12/19/完全安装libpcap,注意有时候用libpcap安装包安装的不完整会影响ngrep的使用。用来解析包中的换行符,否则包里的所有数据都是连续的,可读性差。
伯克利包过滤(Berkeley Packet Filter,BPF)语言
weixin_34348174的博客
02-27 1565
libpcap支持一种功能非常强大的过滤语言——“伯克利包过滤”语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。BPF中内置了一些“基元”来指代一些常用的协议字段。可以用“host”、"prot"之类的基元写出非常简洁的BPF过滤规则,也可以检测位于指定偏移量上的字段(甚至可以是一个位)的值。BP...
linux封包工具下载,Linux 的 ngrep 網路封包分析工具使用教學
weixin_35827671的博客
05-09 252
本篇介紹如何使用 ngrep 這個 Linux 網路封包分析工具,以正規表示法等方式篩選與擷取封包資料。ngrep(network grep)是一個簡單易用且功能強大的網路封包分析工具,它有點類似 Linuxgrep 指令,可以使用正規表示法來批配網路封包中的資料(payloads),抓取出實際含有指定資料的封包,對於熟悉 grep、tcpdump 或 wireshark 的人來說,非常容易...
又一波你可能不知道的Linux命令行网络监控工具.docx
10-31
Linux命令行网络监控工具是系统管理员进行网络管理和故障排查的重要工具。这些工具通常分为两类:包层面的嗅探器和流/进程/接口层面的监控工具。以下是对这些工具的详细说明: 包层面的嗅探器主要用于捕获网络中的...
pcap包 抓包原理
05-14
这种格式广泛被各种网络分析工具如Wireshark、 tcpdump 和 ngrep 所支持。 2. **抓包原理** 抓包的基本原理是利用网卡的混杂模式(Promiscuous Mode)。在混杂模式下,网卡不仅接收发往自己的数据包,还会捕获到...
ngrep-1.45-win32-bin.zip
10-31
ngrep ngrep命令常用工具命令 ngrep命令是grep命令的网络版,他力求更多的grep特征,用于搜寻指定的数据包。正由于安装ngrep需用到libpcap库, 所以支持大量的操作系统和网络协议。能识别TCP、UDP和ICMP包,理解bpf...
ngrep:ngrep就像应用于网络层的GNU grep一样。 这是一个基于PCAP的工具,可让您指定扩展的正则或十六进制表达式以与数据包的数据有效负载进行匹配。 它了解跨多种接口类型的多种协议,包括IPv46,TCP,UDP,ICMPv46,IGMP和Raw,并以与更常见的数据包嗅探工具(如tcpdump和snoop)相同的方式理解BPF过滤器逻辑。
05-06
ngrep 1.47(9.7.2017) ngrep就像应用于网络层的GNU grep一样。 这是一个基于PCAP的工具,可让您指定扩展的正则或十六进制表达式以与数据包的数据有效负载进行匹配。 它了解跨多种接口类型的多种协议,包括IPv4 / 6,TCP,UDP,ICMPv4 / 6,IGMP和Raw,并以与更常见的数据包嗅探工具相同的方式理解BPF过滤器逻辑,例如tcpdump和监听。 什么是新的 修复“ XXX不支持VLAN”相关问题 修复截断/乱码的输出(例如,通过SLL / Linux熟化套接字的SIP) 更改退出行为以匹配BSD和GNU grep(请参见手册页) 添加Solaris IPnet支持 在相关时更新为使用32位值 在标头中发出帧号,对于参考/分析很有用 发出已接收的总计,在退出时匹配(丢弃了不可靠的PCAP统计信息) 在其他平台上导入与自动工具,手册页和编译相
ngrep-tre:ngrep与tre http
05-21
ngrep是一个功能强大的命令行工具,类似于tcpdump,但它支持正则表达式匹配,可以用于对网络流量进行高级的过滤和分析。TRE则是一个轻量级的正则表达式库,用于执行基本的正则匹配。 描述中提到这个项目“状态:未...
Ngrep-1.45-JSER (alpha)-开源
07-01
Ngrep-1.45-JSER (alpha) 是一个基于 Ngrep 工具的修改版本,专注于捕获和分析网络数据包,特别是针对 JSER(Java Server Request)的交互。这个开源软件允许用户深入理解网络通信,特别是对于那些依赖 JavaScript ...
ngrep网络通信监视和过滤源代码
03-31
大家都熟悉LINUX/UNIX下的grep,ngrep是对网络通信报文的过滤和搜索,也支持对ethereal/wireshark等软件记录的文件进行过滤;使用了正则表达式和BPF过滤器
TCP_UDP 调试工具
09-26
3. **tcpdump**(Unix/Linux):这是一个命令行工具,用于在网络接口上捕获网络流量。通过过滤器,可以针对性地分析特定的TCP连接。 **UDP调试工具** 1. **ngrep**:类似于Wireshark,但专注于对UDP流量进行日志...
CentOS 环境 ngrep 安装及使用
谈谈1974
07-19 1134
ngrep可以看作网络版的grep,是一款功能强大的抓包工具。它不但适配各个操作系统,也能识别大量常用网络协议,支持BPF过滤规则,提供灵活抓取各类数据包的能力。
ngrep安装
linyu19872008的专栏
06-27 332
1  安装libpcap 下载地址   http://www.tcpdump.org/#latest-release 解压                      tar -zxvf libpcap-1.4.0.tar.gz 进入目录 cd  libpcap-1.4.0 ./configure make make install    yum install libpca...
Linux系统里的抓包工具详解
am_Linux的博客
04-17 1069
其中-i选项后面跟设备名称,如果想抓取其他网卡的数据包,后面则要跟其他网卡的名字。-nn选项的作用是让第3列和第4列显示成“IP+端口号”的形式,如果不加-nn选项则显示 “主机名+服务名称”。下面的用法是阿铭在工作中使用比较多的,希望你能掌握这些用法。在这里要注意的是,如果你的机器上没有开启Web服务,是不会显示任何内容的。回车后会出现密密麻麻的一堆字符串,在按Ctrl+C之前,这些字符串一直在刷屏,刷屏越快说明网卡上的数据包越多。上例中,-c的作用是指定抓包数量,抓够了自动退出,不用我们人为取消。
linux常用抓包工具
08-16
Linux中,常用的抓包工具有以下几种: 1. tcpdump:tcpdump是一个命令行工具,它能够捕获网络数据包,并将其输出到终端或文件中。它支持过滤规则,可以根据协议、源/目的IP等条件进行过滤。 2. Wireshark:Wireshark是一个功能强大的网络协议分析工具,它能够捕获和分析网络数据包。Wireshark提供了图形化界面,可以方便地查看和分析数据包的内容和结构。 3. tshark:tshark是Wireshark的命令行版本,它提供了与Wireshark类似的功能,可以用于捕获和分析网络数据包。 4. ngrep:ngrep是一个强大的网络数据包分析工具,它可以根据正则表达式匹配网络数据包的内容,并将匹配的数据包输出到终端。 5. tcpflow:tcpflow是一个流量分析工具,它能够将TCP连接中的数据流提取出来,并保存到文件中。它可以用于分析HTTP、FTP等应用层协议的数据流。 这些工具各有特点和用途,根据具体的需求选择合适的工具进行网络抓包和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值