개인적으로 office network 트러블 슈팅을 위해 Wireshark를 애용한다.
tshark는 CLI 환경에서 wireshark를 이용하는 패키지 이며, 나는 tcp dump 대신 사용 한다.
먼저 설치 방법 (우분투를 기준으로 함)
apt install tshark
설치된 후 가장 먼저
tshark -D
서버에 설치된 NIC를 보여줌...
나는 보통 다음과 같은 옵션으로 패킷을 필터링 하여 캡쳐한다.
tshark -i 1 -Y 'tcp.port == 80 && ip.addr == 192.168.1.10' -t a --color
각각의 아규먼츠를 설명 하자면
tshark -i 1 -Y 'tcp.port == 80 && ip.addr == 192.168.1.10' -t a --color
이 부분은 인터페이스를 선택하는 부분임..
아까 -D 옵션을 주고 명령행을 실행하면 설치된 NIC를 보여준다고 했다...
거기서 1번 NIC를 캡쳐하겠다는 의미이다.
tshark -i 1 -Y 'tcp.port == 80 && ip.addr == 192.168.1.10' -t a --color
-Y 옵션은 wireshark에서 사용하는 필터링 String 방식을 사용하겠다는 것임...
참고로 얼마전까지는 -R 옵션을 사용했었는데 deprecate 되었다....
-f로 바꿔쓰면 tcpdump와 같은 방식으로 사용가능
tshark -i 1 -Y 'tcp.port == 80 && ip.addr == 192.168.1.10' -t a --color
필터할 string을 적어준다.. && 연산자를 사용해 두가지 조건을 준것이다
tshark -i 1 -Y 'tcp.port == 80 && ip.addr == 192.168.1.10' -t a --color
시간을 표시한다.
tshark -i 1 -Y 'tcp.port == 80 && ip.addr == 192.168.1.10' -t a --color
색을 입혀준다..
결과는 아래와 같다!