tcpdump 예제

우리의 이전 기사에서, 우리는 본 20 넷스타트 명령 모니터링 하거나 리눅스 네트워크를 mange. 이것은 tcpdump라는 패킷 스니퍼 도구의 또 다른 지속적인 시리즈입니다. 여기서는 tcpdump를 설치하는 방법을 보여 드리고 실용적인 예제로 몇 가지 유용한 명령을 논의하고 다룹니다. -v는 이 예제에서 생략된 IP 헤더 TTL, ID, 길이 및 조각화 필드도 인쇄합니다. 첫 번째 줄에서 초밥은 wrl에게 파일 21,11/12.195에서 바이트 오프셋 24576에서 8192 바이트를 읽도록 요청합니다. Wrl은 `확인`이라고 대답합니다. 두 번째 줄에 표시된 패킷은 응답의 첫 번째 조각이므로 1472 바이트 길이입니다 (다른 바이트는 후속 조각에서 따르지만 이러한 조각에는 NFS 또는 UDP 헤더가 없으므로 인쇄되지 않을 수 있습니다. 사용된 필터 식에 따라 다름). -v 플래그가 지정되므로 파일 형식(일반 파일의 경우 “REG”), 파일 모드(옥탈), uid 및 gid 및 파일 크기 등 일부 파일 특성(파일 데이터 외에 반환됨)이 인쇄됩니다. -v 플래그가 두 번 이상 지정되면 더 많은 세부 정보가 인쇄됩니다. 기본적으로 tcpdump는 이전 예제와 같이 IP 주소와 포트를 이름으로 확인합니다.

네트워크 문제를 해결할 때 IP 주소와 포트 번호를 사용하는 것이 더 쉬운 경우가 많습니다. -nn 옵션 -n 및 포트 해상도를 사용하여 이름 확인을 비활성화: ip6 필터를 사용하여 IPv6 트래픽을 캡처합니다. 이러한 예에서는 프로토 6 및 프로토 17을 사용하여 TCP 및 UDP 프로토콜을 지정했습니다. 명령줄에 프로토콜을 지정하여 프로토콜을 기반으로 패킷을 필터링합니다. 예를 들어, 이 명령을 사용 하 여 ICMP 패킷을 캡처: Tcpdump 여러 리눅스 배포판에 포함 되어 있습니다., 그래서 기회는, 이미 설치 되어. tcpdump가 다음 명령으로 시스템에 설치되어 있는지 확인: 일부 오프셋 및 필드 값은 숫자 값이 아닌 이름으로 표현될 수 있습니다. 예를 들어 tcp[13]는 tcp[tcpflags]로 대체될 수 있습니다. tcp-fin, tcp-syn, tcp-rst, tcp 푸시, tcp-ack, tcp-urg : 다음 TCP 플래그 필드 값도 사용할 수 있습니다.

프로토콜 유형에 따라 패킷을 받을 수 있습니다. fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp 및 udp와 같은 이러한 프로토콜 중 하나를 지정할 수 있습니다. 다음 예제는 eth0 인터페이스를 통해 흐르는 arp 패킷만 캡처합니다. 이제 시스템에 tcpdump를 설치되었으므로 tcpdump에 대한 몇 가지 예에 대해 설명해 보겠습니다. 이 자습서에서는 몇 가지 예제와 함께 tcpdump 명령의 사용에 대해 설명 하려고 하지만 먼저 다양 한 리눅스 OS에 tcpdump의 설치로 시작 하자. 이 예제에서는 HTTP 서비스 전용(포트 80)과 소스 IP 주소 192.168.122.98 또는 54.204.39.132에 대한 패킷을 필터링합니다. 이것은 동일한 흐름의 양쪽을 검사하는 빠른 방법입니다. tcpdump에서 제공하는 또 다른 유용한 기능은 나중에 결과를 분석 할 수 있도록 캡처를 파일에 저장하는 기능입니다. 예를 들어 하룻밤 사이에 일괄 처리 모드로 패킷을 캡처하고 아침에 결과를 확인할 수 있습니다. 또한 실시간 캡처가 너무 빨리 발생할 수 있으므로 분석할 패킷이 너무 많은 경우에도 도움이 됩니다.

이 예제는 tcpdump man 페이지에서 바로 나와 있습니다. tcp-syn 및 tcp 핀 패킷을 선택하여 데이터 없이 타임스탬프를 사용하여 설정된 각 TCP 대화를 표시할 수 있습니다. 많은 필터와 마찬가지로 이것은 당신이 관심있는 정보에 집중하기 위해 노이즈의 양을 줄일 수 있습니다. ATP 패킷 서식은 다음 예제에서 설명합니다. 예를 들어 이 tcpdump 자습서에서는 tcpdump 명령을 사용하는 방법에 대한 몇 가지 실용적인 예제에 대해 설명하겠습니다. Tcpdump는 부울 식과 일치하는 네트워크 인터페이스에서 패킷 내용에 대한 설명을 인쇄합니다. 설명 앞에는 자정 이후의 시간, 분, 초 및 초 단위로 기본적으로 인쇄된 타임스탬프가 표시됩니다.