nGrep抓包域名 详解:原理、方法与应用实践
rep基础概念
ngrep(Network Grep)是一个基于文本模式的网络数据包抓取工具,功能类似但作用于网络数据流,它支持多种协议(如TCP、UDP、ICMP)和应用层协议(如HTTP、DNS),可按自定义规则捕获符合模式的包,是网络流量分析中抓取特定域名数据的常用工具。
安装与基础配置
安装ngrep 不同操作系统安装方式略有差异:
监听接口配置 ngrep需以root权限运行,并指定监听网络接口或端口:
抓取域名的核心方法
域名通常出现在HTTP的头、DNS查询的查询字符串等位置,ngrep通过正则表达式匹配这些位置,实现精准抓包,以下是不同协议下的抓包方法(见表格):
| 协议 | 抓包位置 | 示例命令 | 说明 |
|---|---|---|---|
| Host头 |
sudo ngrep -i 'Host: [a-zA-Z0-9.-]+.[a-zA-Z]{2,}' port 80
|
匹配HTTP请求中的字段,提取域名 | |
| 查询字符串 |
sudo ngrep -i 'query: [a-zA-Z0-9.-]+.[a-zA-Z]{2,}' port 53
|
匹配DNS查询的域名部分(如
query: www.baidu.com
)
|
|
| Host头(需解密) |
sudo ngrep -i 'Host: example.com' port 443
|
HTTPS流量加密,需结合解密工具(如wireshark)分析 | |
| HELO/EHLO命令 |
sudo ngrep -i 'HELO|EHLO' port 25
|
抓取SMTP服务器握手时的域名信息 |
HTTP域名抓取
HTTP请求中,域名位于头字段,抓取访问
example.com
的HTTP请求:
sudo ngrep -i 'Host: example.com' port 80
输出结果包含源IP、目标IP(本机)、时间戳、数据内容(含
Host: example.com
字段)。
DNS域名抓取
DNS查询中,域名位于查询字符串(字段),抓取查询
www.baidu.com
的DNS请求:
sudo ngrep -i 'query: www.baidu.com' port 53
输出会显示源IP、目标IP(本机DNS服务器)、查询类型(A记录)等信息。
HTTPS域名抓取(需解密) HTTPS流量默认加密,ngrep无法解析明文内容,需先抓取原始流量(用或),然后分析明文数据。
# 用tcpdump抓取HTTPS流量sudo tcpdump -i eth0 -nn -s0 -w https.pcap port 443# 用wireshark解密并分析sudo wireshark -r https.pcap
实际操作案例:抓取浏览器访问百度的域名
以Linux系统为例,抓取浏览器访问
www.baidu.com
时的域名数据:
高级用法与注意事项
保存输出到文件 使用选项将结果保存至文件:
sudo ngrep -i 'Host: baidu.com' port 80 -o baidu_http.log
正则表达式优化 ngrep支持复杂正则表达式,例如提取头中的域名(不包含子域名):
sudo ngrep -e 'Host: ([a-zA-Z0-9]+.)+[a-zA-Z]{2,}' port 80
权限与性能
常见问题解答(FAQs)
Q1:ngrep抓不到HTTPS的域名怎么办? A1:HTTPS流量是加密的,ngrep无法直接解析明文内容,解决方法:
Q2:ngrep如何过滤出特定域名? A2:ngrep支持正则表达式,可使用选项匹配模式,过滤出所有以结尾的域名:
sudo ngrep -e 'Host: [a-zA-Z0-9.-]+.[a-zA-Z]{2,}com' port 80
通过以上步骤,可高效使用ngrep抓取特定域名的网络数据包,为网络分析、安全监测等场景提供数据支持。
怎样将Godaddy域名解析到DNSPOD
方法/步骤第一步,在DNSPOD上添加域名首先,进入DNSPOD官方网站,用你的账号登录。 登录后,进入DNSPOD控制面板,选择“我的域名”模块。 在“我的域名”页面,有一个【添加域名】按钮。 如图片一所示。 点击该按钮,这时比如我要解析 ,直接输入你想解析的域名进去。 (注意,输入域名时,不要带www)。 如图片二所示。 点击【确定】,这样就添加了一个域名到DNSPOD了。 第二步,设置域名参数添加好之后,需要为域名设置各种参数,如A记录,NS地址等。 点击刚才添加的这个域名,进入域名设置界面。 在这里,你可以看到DNSPOD已经为你提供了2个NS(Name Server)地址,你需要把这2个地址,在GoDaddy后台控制面板中进行设置(后面会讲)。 如图片三所示。 除了NS地址,在域名设置界面,你还需要添加A地址,也就是“记录类型”选A。 点击【添加记录】按钮,在弹出的设置区域中,需要设置“主机记录”、“记录类型”、“线路类型”、“记录值”、“TTL”等参数。 如图片四所示。 图片四中,“主机记录”,是指你的域名前缀(如www)。 因为一个域名,本身是没有任何前缀的,需要单独设置。 比如,你想通过 来作为你博客的访问入口,则需要在“主机记录”那里添加“blog”。 当然,如果你不打算通过任何前缀访问你的主域名,那么,在“主机记录”那里输入 “@”就可以了。 “记录类型”,包括A记录、CNAME、MX、NS等各种记录类型。 如果需要把域名映射到你的主机上,选择“A”,然后,在“记录值”那里输入主机地址即可(通常是一个IP)。 “TTL”,是Time To Live的缩写,指DNS缓存的生存时间,单位为秒。 通俗来讲,就是DNS缓存你的域名记录信息的时间,当缓存失效后,会再次到DNSPOD获取记录值。 一般来讲,使用600(即10分钟)是比较合适的。 其他参数,使用默认值即可。 参数添加完之后,点击【确定】,一条新的记录就设置好了。 如果需要添加其他记录,按照上面的步骤,填入适合的参数进行设置。 第三步,在GoDaddy上修改NS由于你的域名是在GoDaddy上注册的,也就是说,GoDaddy是该域名的托管商。 因此,需要到GoDaddy的控制面板,指定域名的NS服务器。 既然我们打算使用DNSPOD来解析域名,因此,在GoDaddy控制面板就需要把域名的NS设置为DNSPOD提供的地址。 在上面第二步中,DNSPOD已经提供了2个NS地址,我们只需要把这2个地址添加到GoDaddy域名NS即可。 进入GoDaddy域名控制面板(登录后,在“My Account”模块下面),目光移向“Nameservers”区域,在该区域有一个“Set Nameservers”链接。 这里就是设置域名NS的入口了,如图片五所示。 点击“Set Nameservers”链接,GoDaddy会弹出一个Nameservers设置界面,如图片六所示。 在这个设置界面,选择“I have specific nameservers for my domains”单选按钮,在下面的文本框中,输入DNSPOD所提供的2个NS地址,设置好之后,点击【OK】,大功告成!这个时候,你只需要泡上一杯咖啡,等待10-15分钟,域名解析就能够生效啦!
部分网站为什么网页打不开的原因及解决方法
首先,什么是DNS呢?这个在网页打不开的各种原因中提到过,想要了解的朋友可以去我的经验主页查看。 大体上讲,就是域名解析系统。 你可以把它理解成一个翻译器。 DNS故障可以先考虑清楚DNS缓存。 方法如下:首先打开开始菜单,单击运行,输入cmd。 输入ipconfig /flushdns并回车运行提示出现后再次尝试打开网页即可。 如果这样没有解决问题,可以考虑修改host文件。 Host文件是windows的一个系统文件。 里面储存了DNS服务器的默认设置,如果在HOST文件中已经存在相关的IP—>域名对应关系,再输入该域名时就不经过DNS解析。 这样我们只需要获得正确的IP地址就行了。 这个IP地址可以通过网络查询以及使用其他电脑ping的方式(见我的经验主页)得到。 下面我们找到host文件并将其修改,由于host文件是系统文件,默认属性为隐藏,我们需要先通过设置文件夹选项来查看隐藏文件。 单击工具 文件选项 查看 可以找到相应的设置。 设定完毕后在以下路径下可以找到host文件:C:Windows->System32->drivers->etc在该文件上右键单击选择用记事本打开,就能编辑内部的内容将文本拉到最下面 在空白的地方新开一行 输入你已知的正确IP地址 后面跟上 你打不开的网站域名 两者要写在同一行。 输入完成后按下Ctrl+S保存并退出 再打开浏览器 如果设置正确的话就能进入该网站了。
电脑只有wifi.fiddler怎么抓包
Fiddler抓取HTTP请求。 抓包是Fiddler的最基本的应用,以博客为例,启动Fiddler之后,在浏览器中输入/ohmygirl 键入回车之后,在Fiddler的web session界面捕获到的HTTP请求如下图所示:需要注意的是#号列中的图标,每种图标代表不同的相应类型,具体的类型包括:另外,注意请求的host字段。 可以看到有来自多个的子域名的响应,说明在大型网站的架构中,大多需要多个子域名,这些子域名可能是单独用于缓存静态资源的,也可能是专门负责媒体资源的,或者是专门负责数据统计的(如pingback)。 右键单击其中的一条请求。 可以选择的操作有:save(保存请求的报文信息,可以是请求报文,可以是响应报文)。 例如,保存的一条请求头信息如下:
发表评论