tcpdump

블로그의 모든 내용은 학습 목적으로만 사용하세요.

불법적인 행위에 대한 모든 책임은 당사자에 있습니다.

---

 

wireshark - 전달되는 패킷의 프로토콜을 분석 / 저장 가능

분석도구이면서 특정 패킷을 필터링 할 수 있다.

모든 패킷을 캡쳐 + 필터링

모든 패킷을 저장함

 

리눅스 - tcpdump를 많이 사용한다.

내가 원하는 패킷 형태만 별도로 저장이 가능하다. (필터링)

---

tcpdump 사용법

tcpdump -i eth0  = eth0 인터페이스에 들어오는 모든 패킷을 보여준다.

tcpdump -i eth0 icmp = eth0 인터페이스에 들어오는 icmp 패킷만 보여준다.

 

패킷을 저장하는 방법

pcap(packet capture) -> 확장자를 맞춰줌

 

1. -w 결과값을 bin버전으로 저장한다.

         명령 = tcp -i eth0 icmp -w icmp.pcap

1.1 결과값을 10개만 캡쳐한다. tcp -i eth0 icmp -c 10 -w icmp.pcap

1.2 특정 네트워크의 패킷만 캡쳐한다.tcp -i eth0 src 192.168.0.200 icmp -w icmp.pcap (필터 여러개 가능)

1.3 조건이 많을 시 (syntax에러) and사용. tcpdump -i eth0 src 192.168.0.200 and tcp port 80

 

tcp -i eth0 tcp port 80

    -> ls로 읽으면 파일이 깨져서 -r 옵션으로 

   읽기 = tcpdump -r icmp pcap

 

2. -r 결과값을 패킷 원래 상태로 저장한다.