En av de beste måtene å kjenne statusen til en IT -infrastruktur er ved å analysere nettverket, siden hundrevis av prosesser, tjenester og elementer må passere der som tillater optimal kommunikasjon mellom alle datamaskiner og brukere av nettverket og dermed la alt fungere som forventet. Det er mange verktøy som hjelper oss med å optimalisere og overvåke alt som skjer på nettverket, og dette er viktig siden vi kan være et skritt foran det som skjer i nettverksmiljøet før det skjer, og et av disse verktøyene er ngrep.
Solvetic vil diskutere hvordan du bruker ngrep på Linux for å få den beste nettverksstatistikken på Linux.
Hva er ngrepNgrep er et verktøy hvis operasjon ligner grep som brukes på nettverkslaget og i utgangspunktet samsvarer med trafikken som genereres gjennom et nettverksgrensesnitt. Ngrep fungerer med forskjellige typer protokoller som IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP og Raw på en rekke definerte grensesnitt og støtter BPF -filterlogikk.
Ved å bruke ngrep vil det være mulig å spesifisere et utvidet regulært eller hex -uttrykk for å matche systemdata nyttelast.
KompatibilitetNgrep kan fungere på følgende operativsystemer:
- Linux 2.0+ (RH6 +, SuSE, TurboLinux, Debian, Gentoo, Ubuntu, Mandrake, Slackware) / x86, RedHat / alpha Cobalt, (Qube2) Linux / MIPS
- Solaris 2.5.1, 2.6 / SPARC, Solaris 7, Solaris 8 / SPARC, Solaris 9 / SPARC
- FreeBSD 2.2.5, 3.1, 3.2, 3.4-RC, 3.4-RELEASE, 4.0, 5.0
- OpenBSD 2.4, 2.9, 3.0, 3.1+
- NetBSD 1.5 / SPARC
- Digital Unix V4.0D (OSF / 1), Tru64 5.0, Tru64 5.1A
- HPUX 11
- IRIX
- AIX 4.3.3.0/PowerPC
- BeOS R5
- Mac OS X 10+
- GNU HURD
- Windows 95, 98, NT, 2000, XP, 2003 / x86, 7, 8, 8.1, 10
1. Installer ngrep -kommandoen på Linux
Ngrep er tilgjengelig for installasjon fra standard systemlagre i Linux -distribusjoner gjennom pakkehåndteringsverktøyet, for dette vil vi utføre følgende kommando for installasjon basert på distribusjonen som brukes.
Vi skriver inn bokstaven S for å bekrefte nedlasting og installasjon av ngrep -pakken. Etter at ngrep -installasjonen er fullført, vil det være mulig å begynne å analysere nettverkstrafikk på Linux og dermed få tilgang til viktig informasjon fra dette segmentet.
sudo apt install ngrep sudo yum install ngrep sudo dnf install ngrep
FORSTØRRE
2. Bruk ngrep -kommandoen på Linux
Trinn 1
Med følgende kommando vil det være mulig å matche alle ping -forespørsler i serverens standard arbeidsgrensesnitt, for dette må vi åpne en annen terminal og pinge en annen ekstern maskin. Deretter skal vi bruke parameteren -q som forteller ngrep hva vi skal stille for å ikke generere annen informasjon enn pakkehoder og de respektive nyttelastene, vi kan utføre følgende:
sudo ngrep -q "." "Tcp"
FORSTØRRE
Steg 2
For å fullføre trafikkfangsten bruker vi følgende taster:
Ctrl + C
Trinn 3
Hvis vi bare vil matche trafikken til et bestemt destinasjonssted, må vi utføre følgende kommando og deretter prøve å få tilgang til nettstedet fra en nettleser:
sudo ngrep -q "." "Vert google.com"
Trinn 4
I tilfelle du surfer på nettet, kan vi utføre følgende kommando for å kontrollere filene nettleseren ber om:
sudo ngrep -q 'GET. * HTTP / 1. [01]'
FORSTØRRE
Trinn 5
For å se all aktiviteten som utføres på kilde- eller destinasjonsport 25 (SMTP), skal vi utføre følgende kommando:
sudo ngrep -port 25
FORSTØRRE
Trinn 6
Hvis vi vil overvåke nettverksbasert syslog-trafikk som samsvarer med ordet "feil", bruker vi følgende kommando:
sudo ngrep -d noen 'feil' port 514Trinn 7
Ngrep-verktøyet kan konvertere serviceportnavn som er lagret i / etc / services, (på Unix-lignende systemer som Linux) til portnumre. ngrep kan kjøres på en HTTP -server (port 80), som vil matche alle forespørsler til destinasjonsverten, for dette utfører vi:
sudo ngrep -port 80
FORSTØRRE
Trinn 8
I dette resultatet viser alle HTTP -headeroverføringer innrykkedetaljer, men på denne måten er analysen, for å forbedre styringen kan vi bruke byline -W -modus som denne.
sudo ngrep -W byline port 80
FORSTØRRE
Trinn 9
For å skrive ut resultatene med en tidsstempel i ÅÅÅÅ / MM / DD HH: MM: SSUUUUUU -format når du kombinerer en pakke, vil det være nødvendig å bruke parameteren -t Så:
sudo ngrep -t -W byline port 80
Trinn 10
Hvis vi vil forhindre at grensesnittet blir overvåket i promiskuøs modus, fanger og leser denne modusen hver nettverkspakke som kommer totalt, det vil være nødvendig å legge til -p -flagget:
sudo ngrep -p -W byline port 80Trinn 11
Et annet alternativ å bruke er parameteren -N som gjelder hvis vi oppdager rå eller ukjente protokoller. Denne parameteren er ansvarlig for å fortelle ngrep å vise delprotokollnummeret sammen med identifikatoren for enkelt tegn, for dette utfører vi:
sudo ngrep -N -W byline
Trinn 12
Til slutt, for å få mer hjelp fra ngrep, kan vi kjøre:
mann ngrepDermed blir ngrep -verktøyet en ideell løsning for å overvåke alt som er knyttet til nettverket i Linux -miljøer med detaljerte og komplette resultater.