[네트워크] tcpdump 사용법

 * tcpdump 사용법

 

 

1. 기본 사용법

: tcpdump -i eth0

특정 ethernet(eth0) 으로 송수신 되는 데이터 패킷을 덤프하여 확인

ex) tcpdump -i eth2:1 -v port 18720

 

 

2. tcpdump 후 wireshark를 통한 분석 방법

: eth0 인터페이스에 대해서 80번 포트로 이동하는 패킷을 캡쳐하고, 캡쳐한 정보를 파일로 저장하는 예이다.

 

 

# tcpdump -i eth0 port 80 -w tcp_80_eth0.dmp -s 1024

i : tcpdump 할 이더넷명 port : tcpdump 할 포트 w : tcpdump 로 만들 파일명 s : tcpdump 할 data 패킷 사이즈

 

wireshark로 이 파일을 읽어서 분석하는 방법이다. wireshark로 읽은 결과는 아래와 같다. 분석을 위해서는 TCP/IP 에 대한 이해가 있어야 한다.

 

 

wireshark를 실행한 다음 패킷캡처 룰을 만들어서 실시간으로 패킷을 분석하는 방법을 사용할 수도 있다. 이 경우 wireshark는 raw 소켓에 접근을 하는데, 그러기 위해서는 루트권한이 필요하다. sudo로 실행하는게 제일 편할 것으로 보인다.