Suche nach regulären Ausdrücken in Netzwerk-Dumps

Wer sich schon immer mal gefragt hat, wie man in Netzwerk-Dumps (*.pcap) nach Vorkommen von gewissen Zeichen suchen kann, dem sei hier ngrep (Link) empfohlen. ngrep ist in den Standard-Linux-Quellen enthalten und kann mit

sudo apt install ngrep

installiert werden.

Zur Suche nach einem Ausdruck verwendet man dann den Parameter -w, soll die Suche case-insensitiv sein zustätzlich -i. Soll das Ganze auf einem live-dump passieren, dann gibt man mit  -d das Netwzerk-Interface an (oder any für alle). Soll ein existentes pcap eingelesen werden, nutzt man den Schalter -I mit dem Pfad zur Datei. ngrep gibt dann alle Pakete aus, in denen der gesuchte Begriff vorkommt.

Beispiel für die Suche nach „html“ in einem existenten *.pcap-File:

ngrep -wi "html" -I /tmp/mydump.pcap

Nach Hex-Werten suchen

Eine sehr hilfreiche Funktion ist die Suche nach Hex-Werten. So ist es mit ngrep ein leichtes, beispielsweise nach Magic Numbers zu suchen. Für die Suche nach Hex-Werten verwendet man den Schalter -X, soll die Ausgabe der Pakete zusätzlich zu ASCII auch in Hex erfolgen, hilft der Schalter -x. Die Suche nach den Magic Number 0x0045 (Beginn eines IP-Pakets) sieht dann folgendermaßen aus.

ngrep -xX 0045 -I /tmp/mydump.dmp

Für mehr hilfreiche Funktionen hilft dann wie immer

man ngrep