Linux

TCPDump를 활용하여 패킷 모니터링하기

Posted 2014. 10. 27 Updated 2020. 04. 13 Views 5849 Replies 0
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 댓글로 가기 인쇄

TCPDump는 Linux 서버를 구축하거나 운용하면서 Trouble Shooting을 할 때 유용하게 사용할 수 있는 명령어입니다. Wireshark와 유사하게 Ethernet Port를 통해 출입하는 패킷을 모니터링할 수 있습니다.

주로 함께 사용하는 옵션은 다음과 같습니다.

 

-v, -vv, -vvv (Verbose)

v의 수가 많을수록 더 많은 정보를 표시합니다.

 

-X (Hex)

패킷의 내용을 Parsing해서 Hex 및 ASCII와 함께 표시합니다. 이 때, Data Link Layer의 헤더는 제거되며, 이 정보도 함께 보려면 X를 하나 더 붙이면(-XX) 됩니다.

 

-i eth0 (Interface)

인터페이스(LAN카드, PPTP 등)를 지정합니다.

 

 -n, -nn

-n: IP주소를 해석하지 않고 그대로 출력
-nn: 프로토콜과 포트번호를 해석하지 않고 그대로 출력

 

예: 25, 465, 587번 포트로 들어오는 패킷을 모니터링

tcpdump -vv -X -i eth0 dst port 25 or port 465 or port 587

 

TAG •