[linux]ngrep命令、常见用法

1、ngrep

ngrep工具是grep命令的网络版，ngrep用于抓包，并可以通过正则表达式，过滤、获取指定样式的数据包。能识别TCP、UDP和ICMP协议，理解bpf的过滤机制。

可以用来分析、定位服务中的问题。

因为如果包含多个服务的大型服务出现问题，需要逐步分析定位问题到具体的服务。使用ngrep抓包可以确定数据包是否已经到了某个服务模块，从而定位是哪个部分的问题。

1.1 安装

Mac：

brew install ngrep

其它平台

1.2 语法

ngrep <-LhNXViwqpevxlDtTRM> <-IO pcap_dump> <-n num> <-d dev> <-A num> <-s snaplen> <-S limitlen> <-w normal|byline|single|none> <-c cols> <-P char> <-F file>

1.3 选项

-q ：不显示包的详情，都以‘＃’ 号代替现实

-e ：显示空数据包

-i ：忽略大小写

-v ：反转匹配

-R ：don't do privilege revocation logic

-x ：以16进制格式显示

-X ：以16进制格式匹配

-w ：整字匹配

-p ：不使用混杂模式

-l ：make stdout line buffered

-D ：replay pcap_dumps with their recorded time intervals

-t ：在每个匹配的包之前显示时间戳

-T ：显示上一个匹配的数据包之间的时间间隔

-M ：仅进行单行匹配

-I ：从文件中读取数据进行匹配

-O ：将匹配的数据保存到文件

-n ：仅捕获指定数目的数据包进行查看

-A ：匹配到数据包后dump随后的指定数目的数据包

-s ：set the bpf caplen

-S ：set the limitlen on matched packets

-W ：设置显示格式byline将解析包中的换行符

-c ：强制显示列的宽度

-P ：set the non-printable display char to what is specified

-F ：使用文件中定义的bpf(Berkeley Packet Filter)

-N ：显示由IANA定义的子协议号

-d ：使用哪个网卡，可以用-L选项查询

-L ：查询网卡接口

2、使用实例

注意：需要以超级管理员身份执行该命令

ngrep host 192.168.1.8 udp

：抓udp包

ngrep -W byline  -qd any '.event' udp port 1514

：抓取1514端口udp包，过滤正则匹配包含‘event’字段的包

ngrep -W byline 'GET /' 'tcp and dst port 80' -d eth1 |  awk -v RS="#+" -v FS="\n" 'length() > 1000'

：查询大于1k的请求头

ngrep -d en0 -W byline host 192.168.1.9

：抓取本地 en0 和 61.135.169.125（百度ip）的通信信息，并以行打印出来