tcpdump 완전정복하기[Part.1]

안녕하세요 유난히 독감이 유행하는 겨울 모두들 잘 보내고 계신가요?

막바지 겨울 모두 감기 걸리지 않게 조심하세요!

 

 

오늘은 많이들 궁금해하시고 어려워?하시는 tcpdump에 대해서 소개해드리려고 합니다.

그럼 빨리 시작해 보도록 할게요!!

 

1. tcpdump란 무엇일까?

 

tcpdump는 대부분의 유닉스 계열에서 네트워크카드를 통해 송수신 되는 패킷을 가로채고 표시해주는 소프트웨어 입니다.

참고로 유닉스 계열에서 TcpDump가 있다면 윈도우 계열에서는 WinDump라는 것이 있습니다.

IT에 종사하시는 분들이시라면 tcpdump라는 명령어를 보거나 들어는 보셨을 것입니다.

그럼 긴 설명은 생략하고 진행하도록 하겠습니다.

 

그렇다면 tcpdump는 어떻게 사용하는 것일까요?

 

2. tcpdump 사용법

 

tcpdump는 명령 줄에서 tcpdump라는 명령어를 이용하여 사용합니다.

 

1) 옵션값 : tcpdump를 사용할 때 옵션을 통해 다양한 방식을 이용할 수 있습니다.

 

 

2) 표현식 : 아래의 표현식을 통해 여러 조건을 적용 할 수 있습니다.

 

3) 범위값 : 아래의 범위값을 통해 캡쳐할 대상의 범위를 지정 할 수 있습니다.

 

 

 

3. tcpdump 예시

 

아래는 DNS Server 8.8.8.8에 www.naver.com의 주소를 쿼리하는 내용을 tcpdump로 여러가지 옵션을 통해 캡쳐해보았습니다.

 

1) tcpdump -[옵션] host [IP] and port [PORT]

IP 8.8.8.8과 Port 53을 사용하는 패킷 덤프 보기

 

[root@flocalhost ~]# tcpdump -ni eth1 host 8.8.8.8 and port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
10:58:21.564344 IP X.X.X.X.53051 > 8.8.8.8.domain: 3+ A? www.naver.com. (31)
10:58:21.643939 IP 8.8.8.8.domain > X.X.X.x.53051: 3 4/0/0 CNAME www.naver.com.nheos.com., CNAME www.naver.com.edgekey.net., CNAME e6030.a.akamaiedge.net., A 23.53.225.247 (153)
10:58:21.645321 IP X.X.X.X.53052 > 8.8.8.8.domain: 4+ AAAA? www.naver.com. (31)
10:58:21.699813 IP 8.8.8.8.domain > X.X.X.x.53052: 4 3/1/0 CNAME www.naver.com.nheos.com., CNAME www.naver.com.edgekey.net., CNAME e6030.a.akamaiedge.net. (195)

 

2) tcpdump -[옵션] host [IP] and port [PORT] -w [경로/파일명]

IP 8.8.8.8과 Port 53을 사용하는 패킷 덤프를 /var/log/ 경로에 abc2.pcap파일로 저장

 

[root@localhost ~]# tcpdump -ni eth1 host 8.8.8.8 and port 53 -w /var/log/abc2.pcap
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes

 

3) tcpdump -r [경로/파일명]

저장한 pcap파일을 보기

 

[root@localhost ~]# tcpdump -r /var/log/abc2.pcap
reading from file /var/log/abc.pcap, link-type EN10MB (Ethernet)
10:58:21.564344 IP X.X.X.X.53051 > 8.8.8.8.domain: 3+ A? www.naver.com. (31)
10:58:21.643939 IP 8.8.8.8.domain > X.X.X.x.53051: 3 4/0/0 CNAME www.naver.com.nheos.com., CNAME www.naver.com.edgekey.net., CNAME e6030.a.akamaiedge.net., A 23.53.225.247 (153)
10:58:21.645321 IP X.X.X.X.53052 > 8.8.8.8.domain: 4+ AAAA? www.naver.com. (31)
10:58:21.699813 IP 8.8.8.8.domain > X.X.X.x.53052: 4 3/1/0 CNAME www.naver.com.nheos.com., CNAME www.naver.com.edgekey.net., CNAME e6030.a.akamaiedge.net. (195)

위의 명령어 형식에 맞게 옵션값을 변경하고 알맞은 조건을 통해 tcpdump를 사용가능합니다.

 

다음시간에는 tcpdump 명령으를 가지고 여러 사례들에서 활용 방법에 대해서 공부해 보도록 하겠습니다!!