반응형
1. 사용 중인 인터페이스 확인하기
: tcpdump 를 사용하기 위해 사용 중인 네트워크 인터페이스를 먼저 확인해야한다. 리눅스 쉘에서 ip link 명령어를 치면 아래처럼 나올 것이다. 현재 내가 사용중인 네트워크 인터페이스의 명칭은 'eth0' 이다.
ip link
2. tcpdump 명령어 종류
리눅스에서 사용할 거라면 위처럼 ip link로 인터페이스를 확인 후 명령어에 적어주면 되고, 필자는 네트워크 스위치의 vlan 에서 tcpdump 를 사용할 예정이라 인터페이스 명에 vlan 을 적어주었다. 아래는 vlan 인터페이스를 통해 tcpdump 를 사용하는 예제이다.
2.1) 패킷 내용을 자세히 보기 (-vv)
: vlan1 인터페이스를 통해 ip address 로 부터 오는 패킷의 상세한 정보를 출력
tcpdump -i vlan1 host <ip address> -vv
2.2) 패킷의 페이로드까지 캡처 (-X)
: 헤더뿐만 아니라 페이로드(데이터)를 헥사 및 ASCII 형식으로 출력.
tcpdump -i vlan1 host <ip address> -X
2.3) 특정 프로토콜만 덤프
: ICMP만 캡처
tcpdump -i vlan1 host <ip address> and icmp
: TCP만 캡처
tcpdump -i vlan1 host <ip address> and tcp
2.4) 캡처한 데이터를 파일로 저장 (-w)
: 캡처한 데이터를 capture.pcap 파일로 저장하는 옵션. 이 파일은 winscp 나 파일질라 같은 툴을 이용해 pc로 다운로드 후 Wireshark에서 열어서 볼 수 있다.
tcpdump -i vlan1 -w capture.pcap
2.5) 저장한 파일 읽기 (-r)
tcpdump -r capture.pcap반응형
'Linux&Programming' 카테고리의 다른 글
| 윈도우에서 Scapy 설치 및 패킷 생성하기 (0) | 2025.01.13 |
|---|---|
| 엔디안(Endianness)과 데이터 순서 변환 이해하기 (1) | 2024.12.27 |
| [Rust] 러스트 프로그래밍 공부 변수와 상수, 섀도잉 (0) | 2024.12.07 |
| 리눅스 커널 디버깅 pr_debug 사용하기 (0) | 2024.12.06 |
| [Rust] 러스트 프로그래밍 공부 - 카고(Cargo) (1) | 2024.12.02 |