Difference between revisions of "Tcpdump"

From 탱이의 잡동사니
Jump to: navigation, search
(Samples)
 
Line 15: Line 15:
 
패킷 내용을 저장한 파일을 읽어들인다.
 
패킷 내용을 저장한 파일을 읽어들인다.
  
== Samples ==
+
== Examples ==
 
<pre>
 
<pre>
 
$ sudo tcpdump -i eth0
 
$ sudo tcpdump -i eth0
Line 37: Line 37:
 
$ sudo tcpdump -q \( dst net 1.2.3.0/24 or 1.2.4.0/25 \) and dst port 80
 
$ sudo tcpdump -q \( dst net 1.2.3.0/24 or 1.2.4.0/25 \) and dst port 80
 
목적지 주소가 1.2.3.x/24 와 1.2.4.x/25 이고 80번포트인 패킷 캡쳐
 
목적지 주소가 1.2.3.x/24 와 1.2.4.x/25 이고 80번포트인 패킷 캡쳐
 +
 +
$ ssh -o StrictHostKeyChecking=no maestro@192.168.0.10 "sudo tcpdump -i any udp -w -" | wireshark -l -i - &
 +
SSH 접속 후, tcpdump 실행 후, 로컬에서 wireshark 실행.
 
</pre>
 
</pre>
  

Latest revision as of 08:38, 10 September 2019

Overview

Linux 명령어 tcpdump 사용법 정리.

Options

-i

캡쳐할 인터페이스를 지정한다.

-w

캡쳐된 패킷이 저장될 파일을 지정한다.

-c

캡쳐할 패킷의 갯수를 지정한다.

-r

패킷 내용을 저장한 파일을 읽어들인다.

Examples

$ sudo tcpdump -i eth0
특정 ethernt(eth0) 으로 송수신 되는 데이터 패킷 덤프하여 확인

$ sudo tcpdump -i eth0 -w sample.pcap
특정 ethernet으로 송수신 되는 패킷들 파일에 저장 및 확인

$ sudo tcpdump -r sample.pcap
TCPDUMP에 저장된 패킷헤드들을 확인

$ sudo tcpdump -i eth0 -c 10
특정 ethernet에서 지정한 개수만큼의 네트워크 패킷 덤프하여 확인

$ sudo tcpdump -w tcpdump.log -s 1500 tcp port 22 and host 192.168.0.1
서버의 특정포트로 송수신되는 모든 데이터패킷 전체를 확인. 정확히는 현재 로컬서버와  192.168.0.1 서버사이의 통신 데이터 패킷 중 tcp 22번포트의 모든 패킷을 1500길이로 캡쳐하여 tcpdump.log파일에 저장.

$ sudo tcpdum -Xqnr tcpdump.log
캡쳐한 tcpdump.log파일의 내용을 ASCII모드로 확인

$ sudo tcpdump -q \( dst net 1.2.3.0/24 or 1.2.4.0/25 \) and dst port 80
목적지 주소가 1.2.3.x/24 와 1.2.4.x/25 이고 80번포트인 패킷 캡쳐

$ ssh -o StrictHostKeyChecking=no maestro@192.168.0.10 "sudo tcpdump -i any udp -w -" | wireshark -l -i - &
SSH 접속 후, tcpdump 실행 후, 로컬에서 wireshark 실행.

See also

References