Tcpdump

From 탱이의 잡동사니
Revision as of 08:38, 10 September 2019 by Pchero (talk | contribs) (→‎Samples)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

Overview

Linux 명령어 tcpdump 사용법 정리.

Options

-i

캡쳐할 인터페이스를 지정한다.

-w

캡쳐된 패킷이 저장될 파일을 지정한다.

-c

캡쳐할 패킷의 갯수를 지정한다.

-r

패킷 내용을 저장한 파일을 읽어들인다.

Examples

$ sudo tcpdump -i eth0
특정 ethernt(eth0) 으로 송수신 되는 데이터 패킷 덤프하여 확인

$ sudo tcpdump -i eth0 -w sample.pcap
특정 ethernet으로 송수신 되는 패킷들 파일에 저장 및 확인

$ sudo tcpdump -r sample.pcap
TCPDUMP에 저장된 패킷헤드들을 확인

$ sudo tcpdump -i eth0 -c 10
특정 ethernet에서 지정한 개수만큼의 네트워크 패킷 덤프하여 확인

$ sudo tcpdump -w tcpdump.log -s 1500 tcp port 22 and host 192.168.0.1
서버의 특정포트로 송수신되는 모든 데이터패킷 전체를 확인. 정확히는 현재 로컬서버와  192.168.0.1 서버사이의 통신 데이터 패킷 중 tcp 22번포트의 모든 패킷을 1500길이로 캡쳐하여 tcpdump.log파일에 저장.

$ sudo tcpdum -Xqnr tcpdump.log
캡쳐한 tcpdump.log파일의 내용을 ASCII모드로 확인

$ sudo tcpdump -q \( dst net 1.2.3.0/24 or 1.2.4.0/25 \) and dst port 80
목적지 주소가 1.2.3.x/24 와 1.2.4.x/25 이고 80번포트인 패킷 캡쳐

$ ssh -o StrictHostKeyChecking=no maestro@192.168.0.10 "sudo tcpdump -i any udp -w -" | wireshark -l -i - &
SSH 접속 후, tcpdump 실행 후, 로컬에서 wireshark 실행.

See also

References

<references />