Uma das melhores formas de saber o estado de uma infraestrutura de TI é analisando sua rede, uma vez que por ela passam centenas de processos, serviços e elementos que permitem a comunicação ideal entre todos os computadores e usuários da rede e, assim, permitem que tudo funcione como esperado. Existem inúmeras ferramentas que nos ajudam a otimizar e monitorar tudo o que acontece na rede e isso é vital, pois podemos estar um passo à frente do que acontece no ambiente de rede antes que aconteça e uma dessas ferramentas é ngrep.
Solvetic irá discutir como usar ngrep no Linux para obter as melhores estatísticas de rede no Linux.
O que é ngrepO Ngrep é uma ferramenta cuja operação é semelhante ao grep, que é aplicado na camada de rede e basicamente corresponde ao tráfego gerado por meio de uma interface de rede. Ngrep funciona com vários tipos de protocolos, como IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP e Raw em várias interfaces definidas e oferece suporte à lógica de filtro BPF.
Usando ngrep, será possível especificar uma expressão regular estendida ou hexadecimal para corresponder às cargas de dados do sistema.
CompatibilidadeNgrep pode funcionar nos seguintes sistemas operacionais:
- Linux 2.0+ (RH6 +, SuSE, TurboLinux, Debian, Gentoo, Ubuntu, Mandrake, Slackware) / x86, RedHat / alpha Cobalt, (Qube2) Linux / MIPS
- Solaris 2.5.1, 2.6 / SPARC, Solaris 7, Solaris 8 / SPARC, Solaris 9 / SPARC
- FreeBSD 2.2.5, 3.1, 3.2, 3.4-RC, 3.4-RELEASE, 4.0, 5.0
- OpenBSD 2.4, 2.9, 3.0, 3.1+
- NetBSD 1.5 / SPARC
- Digital Unix V4.0D (OSF / 1), Tru64 5.0, Tru64 5.1A
- HPUX 11
- IRIX
- AIX 4.3.3.0/PowerPC
- BeOS R5
- Mac OS X 10+
- GNU HURD
- Windows 95, 98, NT, 2000, XP, 2003 / x86, 7, 8, 8.1, 10
1. Instale o comando ngrep no Linux
O Ngrep está disponível para instalação a partir dos repositórios padrão do sistema nas distribuições Linux por meio da ferramenta de gerenciamento de pacotes, para isso executaremos o seguinte comando de instalação com base na distribuição utilizada.
Inserimos a letra S para confirmar o download e a instalação do pacote ngrep. Após a conclusão da instalação do ngrep, será possível começar a analisar o tráfego de rede no Linux e, assim, acessar informações vitais deste segmento.
sudo apt install ngrep sudo yum install ngrep sudo dnf install ngrep
PROLONGAR
2. Use o comando ngrep no Linux
Passo 1
Com o seguinte comando será possível corresponder todas as solicitações de ping na interface de trabalho padrão do servidor, para isso devemos abrir outro terminal e fazer ping em outra máquina remota. Em seguida, vamos usar o parâmetro -q que diz ao ngrep o que funcionar silenciosamente para não gerar nenhuma informação além dos cabeçalhos dos pacotes e as respectivas cargas úteis, podemos executar o seguinte:
sudo ngrep -q "." "Tcp"
PROLONGAR
Passo 2
Para finalizar a captura de tráfego, usamos as seguintes chaves:
Ctrl + C
etapa 3
Se quisermos corresponder apenas o tráfego de um site de destino específico, devemos executar o seguinte comando e tentar acessar esse site a partir de um navegador:
sudo ngrep -q "." "Host google.com"
Passo 4
No caso de navegar na web, podemos executar o seguinte comando para controlar os arquivos que o navegador está solicitando:
sudo ngrep -q 'GET. * HTTP / 1. [01]'
PROLONGAR
Etapa 5
Para ver toda a atividade que é executada na porta de origem ou destino 25 (SMTP), vamos executar o seguinte comando:
sudo ngrep porta 25
PROLONGAR
Etapa 6
Se quisermos monitorar o tráfego de syslog baseado em rede que corresponda à palavra "erro", usaremos o seguinte comando:
sudo ngrep -d qualquer porta de 'erro' 514Etapa 7
O utilitário ngrep pode converter nomes de porta de serviço armazenados em / etc / services (em sistemas semelhantes ao Unix como Linux) em números de porta. ngrep pode ser executado em um servidor HTTP (porta 80), que irá corresponder todas as solicitações ao host de destino, para isso executamos:
sudo ngrep porta 80
PROLONGAR
Etapa 8
Neste resultado, todas as transmissões de cabeçalhos HTTP apresentam detalhes de indentação, mas desta forma sua análise é, para melhorar seu gerenciamento podemos utilizar o modo byline -W desta forma.
sudo ngrep -W byline porta 80
PROLONGAR
Etapa 9
Para imprimir os resultados com um carimbo de data / hora no formato AAAA / MM / DD HH: MM: SSUUUUUU ao combinar um pacote, será necessário usar o parâmetro -t Então:
sudo ngrep -t -W byline porta 80
Etapa 10
Se quisermos evitar que a interface seja monitorada em modo promíscuo, este modo intercepta e lê todos os pacotes de rede que chegam no total, será necessário adicionar o sinalizador -p:
sudo ngrep -p -W byline porta 80Etapa 11
Outra alternativa a usar é o parâmetro -N que se aplica se detectarmos protocolos brutos ou desconhecidos. Este parâmetro se encarrega de dizer ao ngrep para mostrar o número do subprotocolo junto com o identificador de caractere único, para isso executamos:
sudo ngrep -N -W byline
Etapa 12
Finalmente, para obter mais ajuda do ngrep, podemos executar:
man ngrepAssim, o utilitário ngrep torna-se a solução ideal para monitorar tudo o que está associado à rede em ambientes Linux com resultados detalhados e completos.
