Tcpdump

From 탱이의 잡동사니
Jump to: navigation, search

Overview

Linux 명령어 tcpdump 사용법 정리.

Options

-i

캡쳐할 인터페이스를 지정한다.

-w

캡쳐된 패킷이 저장될 파일을 지정한다.

-c

캡쳐할 패킷의 갯수를 지정한다.

-r

패킷 내용을 저장한 파일을 읽어들인다.

Samples

$ sudo tcpdump -i eth0
특정 ethernt(eth0) 으로 송수신 되는 데이터 패킷 덤프하여 확인

$ sudo tcpdump -i eth0 -w sample.pcap
특정 ethernet으로 송수신 되는 패킷들 파일에 저장 및 확인

$ sudo tcpdump -r sample.pcap
TCPDUMP에 저장된 패킷헤드들을 확인

$ sudo tcpdump -i eth0 -c 10
특정 ethernet에서 지정한 개수만큼의 네트워크 패킷 덤프하여 확인

$ sudo tcpdump -w tcpdump.log -s 1500 tcp port 22 and host 192.168.0.1
서버의 특정포트로 송수신되는 모든 데이터패킷 전체를 확인. 정확히는 현재 로컬서버와  192.168.0.1 서버사이의 통신 데이터 패킷 중 tcp 22번포트의 모든 패킷을 1500길이로 캡쳐하여 tcpdump.log파일에 저장.

$ sudo tcpdum -Xqnr tcpdump.log
캡쳐한 tcpdump.log파일의 내용을 ASCII모드로 확인

$ sudo tcpdump -q \( dst net 1.2.3.0/24 or 1.2.4.0/25 \) and dst port 80
목적지 주소가 1.2.3.x/24 와 1.2.4.x/25 이고 80번포트인 패킷 캡쳐

See also

References