TCP dump 개요

TCP dump는 네트워크 트래픽을 실시간으로 캡처하고 패킷을 분석하는 명령 줄 기반의 유틸리티이다. 주로 Unix 및 Unix 계열 시스템, 리눅스에서 사용되며, 네트워크 트래픽을 감시 또는 문제해결을 위한 패킷 분석을 하는 데 유용하다.

TCP dump 설치하기

우분투 리눅스는 Debian 기반의 시스템이다
설치 명령은 아래와 같다

sudo apt update
sudo apt upgrade
sudo apt install tcpdump

tcpdump -V //설치확인

Snort와 TCP dump를 이용해 패킷 캡처하기

window에서 패킷 전송하기

window cmd 에서 목적 ip를 입력하여 패킷을 전송한다.
도착지 ip는 우분투에서 ifconfig를 통해 알 수 있다.

도착지 ip를 확인하고 핑 테스트한다

모든 트래픽 캡처하기

sudo tcpdump -i any -w sample.pcap

-i any : 모든 인터페이스를 대상으로 캡처한다.
-w capture.pcap : 캡처된 패킷을 'capture.pcap'파일에 저장한다.
.pcap : 이 확장자는 네트워크 패킷을 저장하는데 사용되는 확장자로 Wireshark와 같은 패킷 분석 도구 또한 '.pcap'확장자를 사용한다.

sample.pcap 파일을 열면 아래와 같이 전송된 패킷을 확인할 수 있다.

source ip는 window의 ip주소이다