Ett av de bästa sätten att veta statusen för en IT -infrastruktur är genom att analysera dess nätverk, eftersom hundratals processer, tjänster och element måste passera där som möjliggör optimal kommunikation mellan alla datorer och användare av nätverket och därmed låter allt fungera som förväntas. Det finns många verktyg som hjälper oss att optimera och övervaka allt som händer på nätverket och detta är viktigt eftersom vi kan vara ett steg före vad som händer i nätverksmiljön innan det händer och ett av dessa verktyg är ngrep.
Solvetic kommer att diskutera hur man använder ngrep på Linux för att få den bästa nätverksstatistiken på Linux.
Vad är ngrepNgrep är ett verktyg vars operation liknar grep som tillämpas på nätverkslagret och i princip matchar den trafik som genereras via ett nätverksgränssnitt. Ngrep arbetar med olika typer av protokoll som IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP och Raw på ett antal definierade gränssnitt och stöder BPF -filterlogik.
Med hjälp av ngrep blir det möjligt att ange ett utökat reguljärt eller hex -uttryck för att matcha systemdata nyttolast.
KompatibilitetNgrep kan fungera på följande operativsystem:
- Linux 2.0+ (RH6 +, SuSE, TurboLinux, Debian, Gentoo, Ubuntu, Mandrake, Slackware) / x86, RedHat / alpha Cobalt, (Qube2) Linux / MIPS
- Solaris 2.5.1, 2.6 / SPARC, Solaris 7, Solaris 8 / SPARC, Solaris 9 / SPARC
- FreeBSD 2.2.5, 3.1, 3.2, 3.4-RC, 3.4-RELEASE, 4.0, 5.0
- OpenBSD 2.4, 2.9, 3.0, 3.1+
- NetBSD 1.5 / SPARC
- Digital Unix V4.0D (OSF / 1), Tru64 5.0, Tru64 5.1A
- HPUX 11
- IRIX
- AIX 4.3.3.0/PowerPC
- BeOS R5
- Mac OS X 10+
- GNU HURD
- Windows 95, 98, NT, 2000, XP, 2003 / x86, 7, 8, 8.1, 10
1. Installera ngrep -kommandot på Linux
Ngrep är tillgängligt för installation från standardsystemlagren i Linux -distributioner via pakethanteringsverktyget, för detta kommer vi att utföra följande kommando för installation baserat på distributionen som används.
Vi anger bokstaven S för att bekräfta nedladdningen och installationen av ngrep -paketet. När ngrep -installationen är klar kommer det att vara möjligt att börja analysera nätverkstrafik på Linux och därmed få tillgång till viktig information från detta segment.
sudo apt install ngrep sudo yum install ngrep sudo dnf install ngrep
FÖRSTORA
2. Använd kommandot ngrep på Linux
Steg 1
Med följande kommando kommer det att vara möjligt att matcha alla ping -förfrågningar i serverns standard arbetsgränssnitt, för detta måste vi öppna en annan terminal och pinga en annan fjärrdator. Då kommer vi att använda parametern -q som berättar för ngrep vad som ska tystas för att inte generera någon annan information än pakethuvuden och respektive nyttolast, vi kan utföra följande:
sudo ngrep -q "." "Tcp"
FÖRSTORA
Steg 2
För att avsluta trafikinsamlingen använder vi följande tangenter:
Ctrl + C
Steg 3
Om vi bara vill matcha trafiken på en viss målplats måste vi utföra följande kommando och sedan försöka komma åt den platsen från en webbläsare:
sudo ngrep -q "." "Värd google.com"
Steg 4
Om vi surfar på webben kan vi utföra följande kommando för att styra filerna som webbläsaren begär:
sudo ngrep -q 'GET. * HTTP / 1. [01]'
FÖRSTORA
Steg 5
För att se all aktivitet som utförs på käll- eller destinationsporten 25 (SMTP) kommer vi att utföra följande kommando:
sudo ngrep -port 25
FÖRSTORA
Steg 6
Om vi vill övervaka nätverksbaserad syslog-trafik som matchar ordet "fel" använder vi följande kommando:
sudo ngrep -d någon 'fel' port 514Steg 7
Verktyget ngrep kan konvertera tjänstportnamn lagrade i / etc / services (på Unix-liknande system som Linux) till portnummer. ngrep kan köras på en HTTP -server (port 80), som matchar alla förfrågningar till destinationsvärden, för detta kör vi:
sudo ngrep -port 80
FÖRSTORA
Steg 8
I detta resultat visar alla HTTP -rubriköverföringar indragningsdetaljer, men på detta sätt är analysen, för att förbättra hanteringen kan vi använda byline -W -läget så här.
sudo ngrep -W byline -port 80
FÖRSTORA
Steg 9
För att skriva ut resultaten med en tidsstämpel i ÅÅÅÅ / MM / DD HH: MM: SSUUUUUU -format när du kombinerar ett paket, kommer det att vara nödvändigt att använda parametern -t Så:
sudo ngrep -t -W byline -port 80
Steg 10
Om vi vill förhindra att gränssnittet övervakas i promiskuöst läge, det här läget avlyssnar och läser varje nätverkspaket som kommer totalt, kommer det att bli nödvändigt att lägga till -p -flaggan:
sudo ngrep -p -W byline -port 80Steg 11
Ett annat alternativ att använda är -N -parametern som gäller om vi upptäcker råa eller okända protokoll. Denna parameter ansvarar för att berätta för ngrep att visa delprotokollnumret tillsammans med en enda teckenidentifierare, för detta kör vi:
sudo ngrep -N -W byline
Steg 12
Slutligen, för att få mer hjälp från ngrep kan vi köra:
man ngrepSåledes blir ngrep -verktyget en idealisk lösning för att övervaka allt som är kopplat till nätverket i Linux -miljöer med detaljerade och fullständiga resultat.