Ngrep: Difference between revisions
Jump to navigation
Jump to search
No edit summary |
No edit summary |
||
(6 intermediate revisions by the same user not shown) | |||
Line 3: | Line 3: | ||
== Basic == | == Basic == | ||
ngrep 은 | ngrep 은 network grep 의 줄임말이며, grep 과 비슷한 개념이지만 네트워크 패킷의 내용을 검색한다는 것이 다르다. | ||
== Options == | == Options == | ||
=== Synopsis === | |||
<pre> | |||
$ ngrep <-hNXViwqpevxlDtTRM> <-IO pcap_dump > < -n num > < -d dev > < -A num > < -s snaplen > \ | |||
< -S limitlen > < -W normal|byline|single|none > < -c cols > < -P char > < -F file > < match expression > < bpf filter > | |||
</pre> | |||
=== -q === | === -q === | ||
Line 15: | Line 21: | ||
=== -t/-T === | === -t/-T === | ||
Timestamp 를 표시한다. -t 옵션은 패킷이 도착한 시간을 표시하고, -T 옵션은 패킷간의 간격을 시간으로 표시한다. | Timestamp 를 표시한다. -t 옵션은 패킷이 도착한 시간을 표시하고, -T 옵션은 패킷간의 간격을 시간으로 표시한다. | ||
=== -W === | |||
* normal: | |||
: ''normal'' is the default mode and is only included for completeness. This option is incompatible with ''-x''. | |||
* byline: | |||
: The ''byline'' mode honors embedded linefeeds, wrapping text only when a linefeed is encountered (useful for observing HTTP transactions, for instance). | |||
* single: | |||
: The ''single'' mode is conceptually the same as ''none'', except that everything including IP and source/destination header information is all on one line. | |||
* none: | |||
: The ''none'' mode doesn't wrap under any circumstance (entire payload is displayed on one line). | |||
=== host === | === host === | ||
Line 21: | Line 40: | ||
dst host : destination 에만 주소값을 매칭시킨다. | dst host : destination 에만 주소값을 매칭시킨다. | ||
src host : source 에만 주소값을 매칭시킨다. | src host : source 에만 주소값을 매칭시킨다. | ||
=== port === | |||
입력한 포트주소를 감시한다. | |||
<pre> | |||
$ ngrep -qt port 9091 | |||
interface: eth0.843 (127.0.0.1/255.255.255.0) | |||
filter: (ip or ip6) and ( port 9091 ) | |||
</pre> | |||
== Examples == | == Examples == | ||
Line 31: | Line 58: | ||
T 2015/08/28 13:05:48.617855 173.252.102.16:443 -> 10.1.27.62:57349 [AP] | T 2015/08/28 13:05:48.617855 173.252.102.16:443 -> 10.1.27.62:57349 [AP] | ||
....CL.Z.F.D.(......\E.Ys.%..Nj.O.?I.-.l..wQi..d= '.........@d.0.p..!l.. | ....CL.Z.F.D.(......\E.Ys.%..Nj.O.?I.-.l..wQi..d= '.........@d.0.p..!l.. | ||
</pre> | |||
SIP packet | |||
<pre> | |||
$ ngrep -W byline "SIP" -qt src host 127.0.0.1 or dst host 192.168.200.10 | |||
</pre> | </pre> | ||
Line 37: | Line 69: | ||
* http://cidog.com/bbsDetail.abc?bwoId=7604&&page=21&category=56&refine=true - ngrep 다운로드 및 사용법 | * http://cidog.com/bbsDetail.abc?bwoId=7604&&page=21&category=56&refine=true - ngrep 다운로드 및 사용법 | ||
[[category:command]] | [[category:command/utility]] |
Latest revision as of 08:40, 25 July 2016
Overview
리눅스 명령어 ngrep 사용 정리.
Basic
ngrep 은 network grep 의 줄임말이며, grep 과 비슷한 개념이지만 네트워크 패킷의 내용을 검색한다는 것이 다르다.
Options
Synopsis
$ ngrep <-hNXViwqpevxlDtTRM> <-IO pcap_dump > < -n num > < -d dev > < -A num > < -s snaplen > \ < -S limitlen > < -W normal|byline|single|none > < -c cols > < -P char > < -F file > < match expression > < bpf filter >
-q
Quiet 옵션. 패킷 헤더와 페이로드를 제외한 다른 내용은 표시하지 않는다.
-v
Invert. 매칭되는 패킷은 제외하고 표시한다.
-t/-T
Timestamp 를 표시한다. -t 옵션은 패킷이 도착한 시간을 표시하고, -T 옵션은 패킷간의 간격을 시간으로 표시한다.
-W
- normal:
- normal is the default mode and is only included for completeness. This option is incompatible with -x.
- byline:
- The byline mode honors embedded linefeeds, wrapping text only when a linefeed is encountered (useful for observing HTTP transactions, for instance).
- single:
- The single mode is conceptually the same as none, except that everything including IP and source/destination header information is all on one line.
- none:
- The none mode doesn't wrap under any circumstance (entire payload is displayed on one line).
host
source/destination 모두에 입력한 주소값을 매칭시킨다.
dst host : destination 에만 주소값을 매칭시킨다. src host : source 에만 주소값을 매칭시킨다.
port
입력한 포트주소를 감시한다.
$ ngrep -qt port 9091 interface: eth0.843 (127.0.0.1/255.255.255.0) filter: (ip or ip6) and ( port 9091 )
Examples
pchero@mywork:~$ sudo ngrep -qt host 10.1.27.62 interface: eth0 (10.1.27.0/255.255.255.0) filter: (ip or ip6) and ( host 10.1.27.62 ) T 2015/08/28 13:05:48.617855 173.252.102.16:443 -> 10.1.27.62:57349 [AP] ....CL.Z.F.D.(......\E.Ys.%..Nj.O.?I.-.l..wQi..d= '.........@d.0.p..!l..
SIP packet
$ ngrep -W byline "SIP" -qt src host 127.0.0.1 or dst host 192.168.200.10
See also
- http://xinet.kr/tc/51 - ngrep 다운로드 및 사용법(옵션)
- http://cidog.com/bbsDetail.abc?bwoId=7604&&page=21&category=56&refine=true - ngrep 다운로드 및 사용법