[LINUX] TCPDUMP 에 대해 알아보자. (IT 기초)

안녕하세요 오늘은 tcpdump 에 대해 알아보는 시간을 갖도록 하겠습니다.

 

tcpdump란?

 

Tcpdump는 네트워크 인터페이스를 거치는 패킷들의 헤더 및 데이터를 출력해주는 프로그램입니다. 주로 네트워크 문제 해결 및 보안 테스트를 위해 사용됩니다.

tcpdump 사용 방법

 

tcpdump [options] [expression] [host]

 

주로 사용하는 옵션

가. -i device : 어느 인터페이스를 경유하는 패킷들을 잡을지 지정.
나. -w : 캡처한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장.
다. -c number : 제시된 수의 패킷을 받은 후 종료.
라. -s length: 패킷들로부터 추출하는 샘플을 default값인 68 byte외의 값으로 설정.

 

예시

# tcpdump -i eth0 => 인터페이스 eth0 로 유입되는 패킷을 스니핑 합니다.
# tcpdump -w tcpdump.log => 결과를 파일로 저장, txt 가 아닌 bin 형식으로 저장됩니다.
# tcpdump -r tcpdump.log => 저장한 파일을 읽어서 출력해줍니다.
# tcpdump -i eth0 -c 10 => 10개의 패킷만 출력 합니다.
# tcpdump -i eth0 tcp port 80 => tcp 80 포트로 통신하는 패킷 보여줍니다.
# tcpdump -i eth0 src 192.168.0.1 => source ip 가 192.168.0.1인 패킷 보여줍니다.
# tcpdump -i eth0 dst 192.168.0.1 => destination ip 가 192.168.0.1인 패킷을 볼수 있습니다.

 

세부적으로 확인 하기 위해서는 or 조건 또는 and 옵션으로 여러가지 조건의 조합이 가능합니다.

 

결론
Tcpdump는 네트워크 관리자와 보안 전문가가 네트워크 트래픽을 캡처하고 분석하는 데 필수적인 도구입니다. 잘 활용하셔서 현장에서 알찬 쓰임을 가져가시길 바랍니다.