반응형
주로 사용하는 것만 정리해봤습니다.
1. Tcpdump 개념
- 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들을 출력해주는 프로그램
2. TCpdump 옵션
1) 자주 사용하는 옵션들
| 옵션 | 설명 | 예제 |
| -i {interface} | interface의 이름을 지정 | tcpdump -i eth0 tcpdump -i any(특정 interface가 아니라 loopback을 포함한 interface로 송수신 하는 패킷캡처 |
| -nn | ip address를 hostname으로 출력을 안하고, protocol name으로 출력 | tcpdump -nni eth0 port 8080 |
| -vv | 패킷을 더 상세하게 출력 | tcpdump -nni eth0 port 8080 -vv |
| -w {filename} {filename의 확장자} | 패킷들의 내용을 파일로 저장 | tcpdump -i any port 80 -w test.pcap 또는 test.log(bin형식 저장) ->해당 파일은 tcpdump -r test.log(파일 open) |
2) 응용 예제
- tcpdump -i eth0 host 192.168.10.10 (host를 지정하면, 이 ip로 들어오거나 나가는 양방향 패킷 모두 보여줌)
- tcpdump -i eth0 src(dsr) 192.168.10.10 (host 중에서 src(dsr) 가 192.168.10.10인 것 만 지정)
- tcpdump -i eth0 net 192.168.10.10/24 (CIDR 포맷으로 지정)
3. Tcpdump 플래그(flag)
| TCP 플래그 | TCPDUMP 플래그 | 플래그 의미 |
| SYN | S | SYN패킷, Tcp 세션 연결 요청 |
| ACK | ack | ACK패킷, 상대방으로부터 패킷을 받은 뒤에 알려주는 패킷을 말한다. 다른 플래그와 같이 출력되는 경우도 있다. |
| FIN | F | 수신 host의 연결을 정상적으로 종료 |
| RESET | R | 수신 host와 연결을 즉시 종료 |
| PUST | P | 데이터를 즉시 목적지로 보내라는 의미이다. 텔넷과 같이 상호작용이 중요한 프로그램의 경우 빠른 응답이 중요한다. 이때 사용하는 플래그이다. |
| UGENT | URG | 긴급한 데이터로 다른 데이터보다 우선 |
| Placeholder | . | 패킷이 SYN, FINISH, RESET, PUSH등의 플래그가 없는 경우이 플래그가 세팅된다. 이 플래그는 ACK플래그와 함께 사용되는 경우도 있다. |
반응형
'IT > Server' 카테고리의 다른 글
| [Linux] vi 편집기 설정 및 사용방법 (0) | 2022.08.04 |
|---|---|
| RAID 개념 및 종류 설명 (0) | 2022.08.02 |
| [Linux] iptables 개념, 설정 및 옵션 정리 (3) | 2022.07.25 |
댓글