출처 : https://mkil.tistory.com/m/482
리눅스 tcpdump 사용방법 및 명령어 정리 / tcpdump 파일로 저장하는 방법
TCP DUMP 란 tcp dump는 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들을 출력해주는 프로그램 TCP DUMP 사용방법 원하는 조건의 명령어를 입력으로 네트워크 패킷 로그를
mkil.tistory.com
TCPDUMP 란
tcpdump는 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들을 출력
TCPDUMP 사용법
원하는 조건의 명령어를 입력으로 네트워크 패킷 로그를 출력하여 본다.
TCPDUMP 분석 프로그램
tcpdump로 패킷 캡춰한 내용을 파일로 저장한 다음 wireshark로 읽어서 분석
TCPDUMP 명령어 예시
# tcpdump -i eth0
> 인터페이스 eth0 을 보여줌
# tcpdump -w tcpdump.log
> 결과를 파일로 저장, binary 형식으로 저장됨
# tcpdump -r tcpdump.log
> 저장한 파일을 읽음
# tcpdump -i eth0 tcp port 80
> tcp 80 포트로 통신하는 패킷 보여줌
# tcpdump -i eth0 src 192.168.0.1
> source ip 가 192.168.0.1인 패킷 보여줌
# tcpdump -i eth0 dst 192.168.0.1
> destination ip 가 192.168.0.1인 패킷 보여줌
* and 옵션으로 여러가지 조건의 조합 가능
# tcpdump -w tcpdump.log -i eth0 dst 192.168.0.1 and udp and port 514
> 목적이 ip가 192.168.0.1인 곳으로 514포트를 사용하는 udp 패킷을 tcpdump.log 파일에 저장
# tcpdump host 192.168.0.1
> host 를 지정하면, 이 ip 로 들어오거가 나가는 양방향 패킷 모두 보여줌
# tcpdump src 192.168.0.1
> host 중에서 src 가 192.168.0.1인것 만 지정
# tcpdump dst 192.168.0.1
> host 중에서 dst 가 192.168.0.1인것 만 지정
# tcpdump net 192.168.0.1/24
> CIDR 포맷으로 지정할 수 있다.
# tcpdump tcp
> TCP 인것만
# tcpdump udp
> UDP 인것만
# tcpdump port 3389
> 포트 양뱡항으로 3389인 것.
# tcpdump src port 3389
> src 포트가 3389인 것.
# tcpdump dst port 3389
> dst 포트가 3389인 것.
* combine : and ( && ) , or ( || ) , not ( ! ) 으로 여러가지를 조합해서 사용 가능
# tcpdump src 192.168.10.1 and not dst port 22
> src ip 가 192.168.10.1 이고 dst 포트가 22 가 아닌 것
* grouping : ( )
# tcpdump ‘src19.18.0.1 and ( dst port 3389 or 22 )’
> src ip 가 19.18.0.1 이고 ( dst 포트가 3389 또는 22 ) 인 것
※ 여기서는 ‘ ‘ 가 반드시 있어야 한다.
'IT > OS (Unix Linux Windows)' 카테고리의 다른 글
| [UNIX] AIX 계정 상태 확인 및 조치사항 (1) | 2023.12.20 |
|---|---|
| [UNIX]AIX CPU정보 확인 (0) | 2022.05.19 |
| [UNIX]AIX 특정 디렉토리 제외하고 tar 묶는법 (0) | 2022.05.19 |
| [LINUX]CPU / 코어 / 스레드 정보 확인 (0) | 2022.02.08 |
| [Linux]로그인 절차 없이 sftp 접속 (0) | 2021.10.19 |