ngrep überträgt die Möglichkeiten von grep auf den Netzwerkverkehr (Network-grep).
Das Tool eignet sich ähnlich wie netcat zur Fehlerfindung in Netzwerken. Da mit sogenannten primitives genau angegeben werden kann, welchen Ursprung, oder welches Ziel (IP oder/und Port) die auszugebenden Pakete haben dürfen, eignet es sich besser Client-Server Verbindungen zu beobachten.
Einige Beispiele
# Sucht nach im Datenstrom nach "USER" oder "PASS". Untersucht werden alle Pakete,
# die vom Host 10.20.52.200 kommen und Quell- oder Zielport 21 (FTP) besitzen,
# womit im Handumdrehen Klartextpasswörter für FTP ermittelt werden können.
sudo ngrep 'USER|PASS' src host 10.20.52.200 and tcp port 21
# TCP Verkehr von lokalen Rechner auf port 80 zu 10.20.52.200 mitschneiden
sudo ngrep '' src host 10.20.52.200 and tcp port 80
# print all UDP packets
sudo ngrep '' udp
# print all ICMP packets
sudo ngrep '' icmp