개요
- wireshark 대신 커맨드라인 도구를 사용하는 이유
- GUI 도구인 wireshark보다 더 빠르다고 함.
- 유닉스 파이프라인을 이용해서 다른 도구에 결과를 제공하는데 적합하다고 함..
- 와이어샤크는 종합툴이지만 커맨드라인 툴을 사용하면 원하는 정보만 얻을 수도 있다고 함..
- tcpdump는 가장 인기있는 커맨드라인 패킷 분석 애플리케이션이라고 함.
패킷 캡처
$ sudo tcmpdump$ ifconfig # 캡처할 인터페이스 목록 조회
$ tcpdump -i {캡처할 인터페이스}# 수집한 패킷을 파일에 저장하기
$ tmpdump -i {인터페이스} -w {파일명}
# 저장한 파일 읽기
$ tcpdump -r {파일명} -c{limit}패킷 캡처 결과 출력
tcpdump -v # -v는 자세한 정보 표시 옵션(verbose)필터 적용
tcpdump '{필터 조건식}'
# 예시
tcpdump 'tcp dst port 80' -w 파일명.pcap 질문들
-
ICMP 프로토콜 까먹음.
-
유닉스 파이프라인 이용해서 tcmpdump 결과를 다른 도구에 직접 제공하는게 무슨 말인지 정확히 모르겠음. 직접 해보면 바로 감잡을듯 한데..
-
tcpdump 결과 읽는거 어색함
-
tcpdump 통계 기능 모름
집중 ➝ 프로세서↑ 시간 투자 ➝ 디스크↑