Ngrep İle Http Trafiğini İzleme

G emin

G emin

Yeni üye
25 Mar 2018
35
0

Sisteminize hangi tip browserlarla bağlanıldığını görmek için
#ngrep -q -i 'user-agent' tcp port 80
ve bilgiler gelicek

interface: rl0 (111.111.111.11/255.255.255.248) filter: (ip or ip6) and ( tcp port 80 ) match: user-agent

T 66.249.72.236:65241 -> 80.93.212.86:80 [AP] GET /robots.txt HTTP/1.1..Host: blog.lifeoverip.net..Connection: Keep-alive..Accept: text/plain,text/html..From: googlebot(at)googlebot.com..User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html )..Accept-Encoding: gzip,deflate….

T 80.93.212.86:80 -> 66.249.72.236:65241 [AP] HTTP/1.1 200 OK..Date: Thu, 27 Nov 2008 07:48:49 GMT..Server: Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.7 T 66.249.72.236:65241 -> 80.93.212.86:80 [AP] GET /tag/linux/ HTTP/1.1..Host: blog.lifeoverip.net..Connection: Keep-alive..Accept: */*..From: googlebot(at)goo glebot.com..User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)..Accept-Encodin g: gzip,deflate..If-Modified-Since: Wed, 26 Nov 2008 07:54:53 GMT… …

Http portundan yapılan ssh bağlantılarını izleme

http portundan ssh bağlantısı yapıldığından şüpheleniyorsanız aşağıdaki ngrep komutu size gerçeği söyleyecektir.

# ngrep -q -i SSH tcp port 80

interface: rl0 (111.111.111.11/255.255.255.248) filter: (ip or ip6) and ( tcp port 80 ) match: SSH

T 80.93.212.86:80 -> 212.252.168.235:44020 [AP] SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110. T 80.93.212.86:80 -> 212.252.168.235:44034 [AP] SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110. T 212.252.168.235:44034 -> 80.93.212.86:80 [AP] SSH-2.0-OpenSSH_5.0. T 80.93.212.86:80 -> 212.252.168.235:44034 [AP] …….^…D…..=z……~diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman ..

Kaydedilmiş trafik üzerinde veri arama

Ngrep ile yakalanan trafiği kaydetmek için –O parametresi kullanılır. Sonradan bu trafik üzerinde tekrar ngrep kullanılarak veri arama yapılabilir.

User/Password bilgilerini alma

Ngrep ile şifresiz iletişim kullanan tüm protokollerin bilgisi alınabilir. (Şifreli iletişim kullanmak için güzel bir neden). Mesela ftp sunucuya giden/gelen user/pass bilgilerini görmek için aşağıdaki gibi bir komut yeterli olacaktır.

#ngrep –w i -d any ‘user|pass’ port 21

Ya da POP3, IMAP üzerinden akan user/pass bilgileri aşağıdaki gibi bir komutla izlenebilir.

# ngrep -t -q ‘(PASS)’ ‘tcp and port 110 or tcp port 143’
 
Son düzenleme:
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.