ウェブサイト検索

ngrep - Linux 用ネットワーク パケット アナライザー

Ngrep (ネットワーク grep) は、シンプルかつ強力なネットワーク パケット アナライザーです。これはネットワーク層に適用される grep に似たツールで、ネットワーク インターフェイスを通過するトラフィックを照合します。これにより、パケットのデータ ペイロード (自動生成されたメタデータではなく、送信データ内の実際の情報またはメッセージ) と照合する拡張正規表現または 16 進表現を指定できます。

このツールは、IPv4/6、TCP、UDP、ICMPv4/6、IGMP、および多くのインターフェイス上の Raw を含むさまざまなタイプのプロトコルで動作します。これは、tcpdump パケット スニッフィング ツールと同じように動作します。

パッケージ ngrep は、図に示すようにパッケージ管理ツールを使用して、主流の Linux ディストリビューションのデフォルト システム リポジトリからインストールできます。

$ sudo apt install ngrep
$ sudo yum install ngrep
$ sudo dnf install ngrep

ngrep をインストールしたら、次の例を使用して Linux ネットワーク上のトラフィックの分析を開始できます。

1. 次のコマンドは、デフォルトの動作インターフェイス上のすべての ping リクエストを照合するのに役立ちます。別のターミナルを開いて、別のリモート マシンに ping を実行する必要があります。 -q フラグは、ngrep に静かに動作し、パケット ヘッダーとそのペイロード以外の情報を出力しないように指示します。

$ sudo ngrep -q '.' 'icmp'

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( icmp ) and ((ip || ip6) || (vlan && (ip || ip6)))
match: .

I 192.168.0.104 -> 192.168.0.103 8:0
  ]...~oG[....j....................... !"#$%&'()*+,-./01234567                                                                                                             

I 192.168.0.103 -> 192.168.0.104 0:0
  ]...~oG[....j....................... !"#$%&'()*+,-./01234567                                                                                                             

I 192.168.0.104 -> 192.168.0.103 8:0
  ]....oG[............................ !"#$%&'()*+,-./01234567                                                                                                             

I 192.168.0.103 -> 192.168.0.104 0:0
  ]....oG[............................ !"#$%&'()*+,-./01234567

Ctrl + C を押すと終了します。

2. 特定の宛先サイト (「google.com」 など) に向かうトラフィックのみを照合するには、次のコマンドを実行し、ブラウザからアクセスしてみます。

$ sudo ngrep -q '.' 'host google.com'

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( host google.com ) and ((ip || ip6) || (vlan && (ip || ip6)))
match: .

T 172.217.160.174:443 -> 192.168.0.103:54008 [AP]
  ..................;.(...RZr..$....s=..l.Q+R.U..4..g.j..I,.l..:{y.a,....C{5>                                                                       

T 172.217.160.174:443 -> 192.168.0.103:54008 [AP]
  .............l.......!,0hJ....0.%F..!...l|.........PL..X...t..T.2DC..... ..y...~Y;

3. Web サーフィンをしている場合は、次のコマンドを実行して、ブラウザがどのファイルを要求しているかを監視します。

$ sudo ngrep -q '^GET .* HTTP/1.[01]'

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ((ip || ip6) || (vlan && (ip || ip6)))
match: ^GET .* HTTP/1.[01]

T 192.168.0.104:43040 -> 172.217.160.174:80 [AP]
  GET / HTTP/1.1..Host: google.com..User-Agent: Links (2.13; Linux 4.17.6-1.el7.elrepo.x86_64 x86_64; 
  GNU C 4.8.5; text)..Accept: */*..Accept-Language: en,*;q=0.1..Accept-
  Encoding: gzip, deflate, bzip2..Accept-Charset: us-ascii,ISO-8859-1,ISO-8859-2,ISO-8859-3,ISO-8859-4,
  ISO-8859-5,ISO-8859-6,ISO-8859-7,ISO-8859-8,ISO-8859-9,ISO-8859-10,I
  SO-8859-13,ISO-8859-14,ISO-8859-15,ISO-8859-16,windows-1250,windows-1251,windows-1252,windows-1256,
  windows-1257,cp437,cp737,cp850,cp852,cp866,x-cp866-u,x-mac,x-mac-ce,x-
  kam-cs,koi8-r,koi8-u,koi8-ru,TCVN-5712,VISCII,utf-8..Connection: keep-alive....

4. 送信元ポートまたは宛先ポート 25 (SMTP) を通過するすべてのアクティビティを表示するには、次のコマンドを実行します。

$ sudo ngrep port 25

5. ネットワークベースの syslog トラフィックを監視して、単語「\error」 の発生を監視するには、次のコマンドを使用します。

 
$ sudo ngrep -d any 'error' port 514

重要なのは、このツールは \/etc/services (Linux などの Unix 系システム上) に保存されているサービス ポート名をポート番号に変換できることです。このコマンドは上記のコマンドと同等です。

$ sudo ngrep -d any 'error' port syslog

6. HTTP サーバー (ポート 80) に対して ngrep を実行することもできます。示されているように、宛先ホストへのすべてのリクエストが照合されます。

$ sudo ngrep port 80

interface: eth0 (64.90.164.72/255.255.255.252)
filter: ip and ( port 80 )
####
T 67.169.59.38:42167 -> 64.90.164.74:80 [AP]
  GET / HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux i
  686) Opera 7.21  [en]..Host: www.darkridge.com..Accept: text/html, applicat
  ion/xml;q=0.9, application/xhtml+xml;q=0.9, image/png, image/jpeg, image/gi
  f, image/x-xbitmap, */*;q=0.1..Accept-Charset: iso-8859-1, utf-8, utf-16, *
  ;q=0.1..Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0..Cookie: SQ
  MSESSID=5272f9ae21c07eca4dfd75f9a3cda22e..Cookie2: $Version=1..Connection:
  Keep-Alive, TE..TE: deflate, gzip, chunked, identity, trailers....
##

上記の出力でわかるように、すべての HTTP ヘッダー送信が詳細に表示されます。ただし、解析するのは難しいため、-W 署名モードを適用すると何が起こるかを見てみましょう。

$ sudo ngrep -W byline port 80

interface: eth0 (64.90.164.72/255.255.255.252)
filter: ip and ( port 80 )
####
T 67.169.59.38:42177 -> 64.90.164.74:80 [AP]
GET / HTTP/1.1.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux i686) Opera ...
Host: www.darkridge.com.
Accept: text/html, application/xml;q=0.9, application/xhtml+xml;q=0.9 ...
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1.
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0.
Cookie: SQMSESSID=5272f9ae21c07eca4dfd75f9a3cda22e.
Cookie2: $Version=1.
Cache-Control: no-cache.
Connection: Keep-Alive, TE.
TE: deflate, gzip, chunked, identity, trailers.

7. パケットが一致するたびに YYYY/MM/DD HH:MM:SS.UUUUUU の形式でタイムスタンプを出力するには、次のようにします。 -t フラグを使用します。

$ sudo ngrep -t -W byline port 80

interface: enp0s3 (192.168.0.0/255.255.255.0)
filter: ( port 80 ) and ((ip || ip6) || (vlan && (ip || ip6)))
####
T 2018/07/12 16:33:19.348084 192.168.0.104:43048 -> 172.217.160.174:80 [AP]
GET / HTTP/1.1.
Host: google.com.
User-Agent: Links (2.13; Linux 4.17.6-1.el7.elrepo.x86_64 x86_64; GNU C 4.8.5; text).
Accept: */*.
Accept-Language: en,*;q=0.1.
Accept-Encoding: gzip, deflate, bzip2.
Accept-Charset: us-ascii,ISO-8859-1,ISO-8859-2,ISO-8859-3,ISO-8859-4,ISO-8859-5,utf-8.
Connection: keep-alive.

8. 監視対象のインターフェイスが無差別モード (到着する各ネットワーク パケット全体をインターセプトして読み取るモード) にならないようにするには、-p フラグを追加します。

$ sudo ngrep -p -W byline port 80

9. もう 1 つの重要なオプションは -N です。これは、生のプロトコルまたは不明なプロトコルを観察している場合に役立ちます。これは、ngrep に 1 文字の識別子とともにサブプロトコル番号を表示するように指示します。

$ sudo ngrep -N -W byline

詳細については、ngrep のマニュアル ページを参照してください。

$ man ngrep

ngrep Github リポジトリ: https://github.com/jpr5/ngrep

それで全部です! Ngrep (ネットワーク grep) は、tcpdump と同じ方法で BPF フィルター ロジックを理解するネットワーク パケット アナライザーです。コメントセクションでngrepについてのご意見をお待ちしています。