1. 개요
 가. 리눅스 서버에서 패킷 스니핑시 주로 사용하는 tcpdump 의 사용법 입니다.

 나. 테스트환경 : 리눅스 CentOS 5.1 (tcpdump version 3.94, libpcap version 0.9.4)


2. tcpdump 사용법
 가. 특정 호스트의 특정포트 패킷만 보기

[root@localhost]# tcpdump -nn host 192.168.1.5 and port 80
 

 나. 특정 호스트의 Mac Address 보기

[root@localhost]# tcpdump -e host 192.168.1.6

 다. 지정한 디바이스 장치의 특정포트 패킷보기

[root@localhost]# tcpdump -i eth1 dst port 80
[root@localhost]# tcpdump -i eth1 src port 80
 

 라. 특정 호스트를 제외한 패킷보기

[root@localhost]# tcpdump not host 192.168.1.6

 마. 복합 조건검색 (192.168.1.2 가 아니며 80번 포트를 사용한 패킷 10줄 출력)

[root@localhost]# tcpdump 'not host 192.168.1.2 and port 80' -c 10
 

 바. 패킷의 헥사코드 출력 및 문자열 일치하는 패킷 스니핑

[root@localhost]# tcpdump -s 1024 -x | grep "password"
 

       (-s lenght 패킷들로부터 추출하는 샘플을 default 값인 68Byte 외의 값으로 설정
         하는것으로 프로토콜의 헤더 사이즈에 가깝에 잡아 주어야 합니다. 샘플 사이즈
         를 크게 잡으면 패킷하나를 처리하는데 시간이 더 걸리며 패킷 버퍼의 사이즈가
         작아지게 되어 손실되는 패킷이 발생할 수 있습니다.)


2010/04/14 10:25 2010/04/14 10:25

Trackback Address :: 이 글에는 트랙백을 보낼 수 없습니다