- 25 Mar 2018
- 35
- 0
Sisteminize hangi tip browserlarla bağlanıldığını görmek için#ngrep -q -i 'user-agent' tcp port 80
ve bilgiler gelicek
interface: rl0 (111.111.111.11/255.255.255.248) filter: (ip or ip6) and ( tcp port 80 ) match: user-agent
T 66.249.72.236:65241 -> 80.93.212.86:80 [AP] GET /robots.txt HTTP/1.1..Host: blog.lifeoverip.net..Connection: Keep-alive..Accept: text/plain,text/html..From: googlebot(at)googlebot.com..User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html )..Accept-Encoding: gzip,deflate .
T 80.93.212.86:80 -> 66.249.72.236:65241 [AP] HTTP/1.1 200 OK..Date: Thu, 27 Nov 2008 07:48:49 GMT..Server: Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.7 T 66.249.72.236:65241 -> 80.93.212.86:80 [AP] GET /tag/linux/ HTTP/1.1..Host: blog.lifeoverip.net..Connection: Keep-alive..Accept: */*..From: googlebot(at)goo glebot.com..User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)..Accept-Encodin g: gzip,deflate..If-Modified-Since: Wed, 26 Nov 2008 07:54:53 GMT
Http portundan yapılan ssh bağlantılarını izleme
http portundan ssh bağlantısı yapıldığından şüpheleniyorsanız aşağıdaki ngrep komutu size gerçeği söyleyecektir.
# ngrep -q -i SSH tcp port 80
interface: rl0 (111.111.111.11/255.255.255.248) filter: (ip or ip6) and ( tcp port 80 ) match: SSH
T 80.93.212.86:80 -> 212.252.168.235:44020 [AP] SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110. T 80.93.212.86:80 -> 212.252.168.235:44034 [AP] SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110. T 212.252.168.235:44034 -> 80.93.212.86:80 [AP] SSH-2.0-OpenSSH_5.0. T 80.93.212.86:80 -> 212.252.168.235:44034 [AP] .^ D ..=z ~diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman ..
Kaydedilmiş trafik üzerinde veri arama
Ngrep ile yakalanan trafiği kaydetmek için O parametresi kullanılır. Sonradan bu trafik üzerinde tekrar ngrep kullanılarak veri arama yapılabilir.
User/Password bilgilerini alma
Ngrep ile şifresiz iletişim kullanan tüm protokollerin bilgisi alınabilir. (Şifreli iletişim kullanmak için güzel bir neden). Mesela ftp sunucuya giden/gelen user/pass bilgilerini görmek için aşağıdaki gibi bir komut yeterli olacaktır.
#ngrep w i -d any user|pass port 21
Ya da POP3, IMAP üzerinden akan user/pass bilgileri aşağıdaki gibi bir komutla izlenebilir.
# ngrep -t -q (PASS) tcp and port 110 or tcp port 143
Son düzenleme: