tcpdump

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
# Interface 지정
tcpdump -i <인터페이스 이름>

# 수집한 패킷을 파일로 저장
tcpdump -i <인터페이스 이름> -w <파일명.pcap>

# 저장된 파일에서 패킷을 다시 읽기
tcpdump -r <파일명.pcap>

# 저장된 파일에서 패킷을 다시 읽을 때 출력될 패킷 수 제한
tcpdump -r <파일명.pcap> -c<출력 패킷 수>

# -c와 -w 옵션 혼용하여 파일로 저장
tcpdump -i <인터페이스 이름> -w <파일명.pcap> -c<출력 패킷 수>

# 패킷에 대한 자세한 정보(최대 3단계)
tcpdump -r <파일명.pcap> -v
tcpdump -r <파일명.pcap> -vv
tcpdump -r <파일명.pcap> -vvv

# 16진수만 표시
tcpdump -x <파일명.pcap>

# ASCII만 표시
tcpdump -A <파일명.pcap>

# 16진수와 ASCII 표시
tcpdump -Xr <파일명.pcap>

# IP 이름 해석 비활성화
tcpdump -ni <인터페이스 이름>

# 포트 이름 해석 비활성화
tcpdump -nni <인터페이스 이름>

# BPF 캡처 필터를 사용
tcpdump -r <파일명.pcap> '필터 구문'
ex) tcpdump -r <파일명.pcap> 'tcp dst port 443'

# 캡처 필터를 이용하여 새로 파일 저장
tcpdump -r <파일명.pcap> '필터 구문' -w <파일명.pcap>

#tip
tip) 와이어샤크의 프로토콜 분석기를 사용하지 않기에 7계층 프로토콜 정보는 해석할 수 없다는 한계점이 있다.