İPUCU

Linux Linux İle İlgili Bilgi Paylaşım Platformu

Seçenekler

Ngrep İle Http Trafiğini İzleme

05-06-2018 04:58
#1
G emin - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Mesajlar:
35
Teşekkür (Etti):
10
Teşekkür (Aldı):
3
Konular:
14
Ticaret:
(0) %

Sisteminize hangi tip browserlarla bağlanıldığını görmek için
#ngrep -q -i 'user-agent' tcp port 80
ve bilgiler gelicek

interface: rl0 (111.111.111.11/255.255.255.248) filter: (ip or ip6) and ( tcp port 80 ) match: user-agent

T 66.249.72.236:65241 -> 80.93.212.86:80 [AP] GET /robots.txt HTTP/1.1..Host: blog.lifeoverip.net..Connection: Keep-alive..Accept: text/plain,text/html..From: googlebot(at)googlebot.com..User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html )..Accept-Encoding: gzip,deflate….

T 80.93.212.86:80 -> 66.249.72.236:65241 [AP] HTTP/1.1 200 OK..Date: Thu, 27 Nov 2008 07:48:49 GMT..Server: Apache/2.2.4 (FreeBSD) mod_ssl/2.2.4 OpenSSL/0.9.7 T 66.249.72.236:65241 -> 80.93.212.86:80 [AP] GET /tag/linux/ HTTP/1.1..Host: blog.lifeoverip.net..Connection: Keep-alive..Accept: */*..From: googlebot(at)goo glebot.com..User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)..Accept-Encodin g: gzip,deflate..If-Modified-Since: Wed, 26 Nov 2008 07:54:53 GMT… …

Http portundan yapılan ssh bağlantılarını izleme

http portundan ssh bağlantısı yapıldığından şüpheleniyorsanız aşağıdaki ngrep komutu size gerçeği söyleyecektir.

# ngrep -q -i SSH tcp port 80

interface: rl0 (111.111.111.11/255.255.255.248) filter: (ip or ip6) and ( tcp port 80 ) match: SSH

T 80.93.212.86:80 -> 212.252.168.235:44020 [AP] SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110. T 80.93.212.86:80 -> 212.252.168.235:44034 [AP] SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110. T 212.252.168.235:44034 -> 80.93.212.86:80 [AP] SSH-2.0-OpenSSH_5.0. T 80.93.212.86:80 -> 212.252.168.235:44034 [AP] …….^…D…..=z……~diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman ..

Kaydedilmiş trafik üzerinde veri arama

Ngrep ile yakalanan trafiği kaydetmek için –O parametresi kullanılır. Sonradan bu trafik üzerinde tekrar ngrep kullanılarak veri arama yapılabilir.

User/Password bilgilerini alma

Ngrep ile şifresiz iletişim kullanan tüm protokollerin bilgisi alınabilir. (Şifreli iletişim kullanmak için güzel bir neden). Mesela ftp sunucuya giden/gelen user/pass bilgilerini görmek için aşağıdaki gibi bir komut yeterli olacaktır.

#ngrep –w i -d any ‘user|pass’ port 21

Ya da POP3, IMAP üzerinden akan user/pass bilgileri aşağıdaki gibi bir komutla izlenebilir.

# ngrep -t -q ‘(PASS)’ ‘tcp and port 110 or tcp port 143’
Konu G emin tarafından (05-06-2018 05:51 Saat 05:51 ) değiştirilmiştir. Sebep: yanlış başlık


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı