Wer sich schon immer mal gefragt hat, wie man in Netzwerk-Dumps (*.pcap) nach Vorkommen von gewissen Zeichen suchen kann, dem sei hier ngrep (Link) empfohlen. ngrep ist in den Standard-Linux-Quellen enthalten und kann mit
sudo apt install ngrep
installiert werden.
Zur Suche nach einem Ausdruck verwendet man dann den Parameter -w, soll die Suche case-insensitiv sein zustätzlich -i. Soll das Ganze auf einem live-dump passieren, dann gibt man mit -d das Netwzerk-Interface an (oder any für alle). Soll ein existentes pcap eingelesen werden, nutzt man den Schalter -I mit dem Pfad zur Datei. ngrep gibt dann alle Pakete aus, in denen der gesuchte Begriff vorkommt.
Beispiel für die Suche nach „html“ in einem existenten *.pcap-File:
ngrep -wi "html" -I /tmp/mydump.pcap
Nach Hex-Werten suchen
Eine sehr hilfreiche Funktion ist die Suche nach Hex-Werten. So ist es mit ngrep ein leichtes, beispielsweise nach Magic Numbers zu suchen. Für die Suche nach Hex-Werten verwendet man den Schalter -X, soll die Ausgabe der Pakete zusätzlich zu ASCII auch in Hex erfolgen, hilft der Schalter -x. Die Suche nach den Magic Number 0x0045 (Beginn eines IP-Pakets) sieht dann folgendermaßen aus.
ngrep -xX 0045 -I /tmp/mydump.dmp
Für mehr hilfreiche Funktionen hilft dann wie immer
man ngrep