°Ô½Ã¹° 260°Ç
   
[Redhat] tcpdump ¿É¼Ç³»¿ë
±Û¾´ÀÌ : theko ³¯Â¥ : 2013-04-11 (¸ñ) 10:37 Á¶È¸ : 5218
Tcpdump´Â ¸®´ª½º¿¡¼­ Á¦°øÇÏ´Â ÆÐŶ ºÐ¼® Åø·Î½á ÁÖ¾îÁø Á¶°Ç½ÄÀ» ¸¸Á·ÇÏ´Â ³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º¸¦ °ÅÄ¡´Â ÆÐŶµéÀÇ Çì´õµéÀ» Ãâ·ÂÇØ ÁÖ´Â ÇÁ·Î±×·¥ÀÌ´Ù.


1 TcpdumpÀÇ »ç¿ë ¿É¼Çµé

o         -a : Network & Broadcast ÁÖ¼ÒµéÀ» À̸§µé·Î ¹Ù²Û´Ù.

o         -c Number : Á¦½ÃµÈ ¼öÀÇ ÆÐŶÀ» ¹ÞÀº ÈÄ Á¾·áÇÑ´Ù.

o         -d : compileµÈ packet-matching code¸¦ »ç¶÷ÀÌ ÀÐÀ» ¼ö ÀÖµµ·Ï ¹Ù²Ù¾î Ç¥ÁØ Ãâ·ÂÀ¸·Î Ãâ·ÂÇÏ°í, Á¾·áÇÑ´Ù.

o         -dd : packet-matching code¸¦ C programÀÇ ÀϺηΠÃâ·ÂÇÑ´Ù.

o         -ddd : packet-matching code¸¦ ¼ýÀÚ·Î Ãâ·ÂÇÑ´Ù.

o         -e : Ãâ·ÂµÇ´Â °¢°¢ÀÇ Çà¿¡ ´ëÇؼ­ link-level Çì´õ¸¦ Ãâ·ÂÇÑ´Ù.

o         -f : ¿ÜºÎÀÇ internet address¸¦ °¡±ÞÀû ½Éº¼·Î Ãâ·ÂÇÑ´Ù(SunÀÇ yp server¿ÍÀÇ »ç¿ëÀº °¡±ÞÀû ÇÇÇÏÀÚ).

o         -F file : filter Ç¥ÇöÀÇ ÀÔ·ÂÀ¸·Î ÆÄÀÏÀ» ¹Þ¾ÆµéÀδÙ. Command Line¿¡ ÁÖ¾îÁø Ãß°¡ÀÇ Ç¥ÇöµéÀº ¸ðµÎ ¹«½ÃµÈ´Ù.

o         -i device : ¾î´À ÀÎÅÍÆäÀ̽º¸¦ °æÀ¯ÇÏ´Â ÆÐŶµéÀ» ÀâÀ»Áö ÁöÁ¤ÇÑ´Ù. ÁöÁ¤µÇÁö ¾ÊÀ¸¸é ½Ã½ºÅÛÀÇ ÀÎÅÍÆäÀ̽º ¸®½ºÆ®¸¦ µÚÁ®¼­ °¡Àå ³·Àº ¹øÈ£¸¦ °¡Áø ÀÎÅÍÆäÀ̽º¸¦ ¼±ÅÃÇÑ´Ù(ÀÌ ¶§ loopbackÀº Á¦¿ÜµÈ´Ù).

o         -l : Ç¥ÁØ Ãâ·ÂÀ¸·Î ³ª°¡´Â µ¥ÀÌÅ͵éÀ» line bufferingÇÑ´Ù. ´Ù¸¥ ÇÁ·Î±×·¥¿¡¼­ tcpdump·ÎºÎÅÍ µ¥ÀÌÅ͸¦ ¹Þ°íÀÚ ÇÒ ¶§, À¯¿ëÇÏ´Ù.

o         -n : ¸ðµç ÁÖ¼ÒµéÀ» ¹ø¿ªÇÏÁö ¾Ê´Â´Ù(port,host address µîµî)

o         -N : È£½ºÆ® À̸§À» Ãâ·ÂÇÒ ¶§, µµ¸ÞÀÎÀ» ÂïÁö ¾Ê´Â´Ù.

o         -O : packet-matching code optimizer¸¦ ½ÇÇàÇÏÁö ¾Ê´Â´Ù. ÀÌ ¿É¼ÇÀº optimizer¿¡ ÀÖ´Â ¹ö±×¸¦ ãÀ» ¶§³ª ¾²ÀδÙ.

o         -p : ÀÎÅÍÆäÀ̽º¸¦ promiscuous mode·Î µÎÁö ¾Ê´Â´Ù.

o         -q : ÇÁ·ÎÅäÄÝ¿¡ ´ëÇÑ Á¤º¸¸¦ ´ú Ãâ·ÂÇÑ´Ù. µû¶ó¼­ Ãâ·ÂµÇ´Â ¶óÀÎÀÌ Á» ´õ ª¾ÆÁø´Ù.

o         -r file : ÆÐŶµéÀ» '-w'¿É¼ÇÀ¸·Î ¸¸µé¾îÁø ÆÄÀÏ·Î ºÎÅÍ ÀÐ¾î µéÀδÙ. ÆÄÀÏ¿¡ "-" °¡ »ç¿ëµÇ¸é Ç¥ÁØ ÀÔ·ÂÀ» ÅëÇؼ­ ¹Þ¾ÆµéÀδÙ.

o         -s length: ÆÐŶµé·Î ºÎÅÍ ÃßÃâÇÏ´Â »ùÇÃÀ» default°ªÀÎ 68Byte¿ÜÀÇ °ªÀ¸·Î ¼³Á¤ÇÒ ¶§ »ç¿ëÇÑ´Ù(SunOSÀÇ NIT¿¡¼­´Â ÃÖ¼Ò°¡ 96ByteÀÌ´Ù). 68Byte´Â IP,ICMP, TCP, UDPµî¿¡ ÀûÀýÇÑ °ªÀÌÁö¸¸ Name Server³ª NFS ÆÐŶµéÀÇ °æ¿ì¿¡´Â ÇÁ·ÎÅäÄÝÀÇ Á¤º¸µéÀ» TruncationÇÒ ¿ì·Á°¡ ÀÖ´Ù. ÀÌ ¿É¼ÇÀ» ¼öÁ¤ÇÒ ¶§´Â ½ÅÁßÇؾ߸¸ ÇÑ´Ù. ÀÌÀ¯´Â »ùÇà »çÀÌÁ Å©°Ô ÀâÀ¸¸é °ð ÆÐŶ ÇϳªÇϳª¸¦ ó¸®Çϴµ¥ ½Ã°£ÀÌ ´õ °É¸± »Ó¸¸ ¾Æ´Ï¶ó ÆÐŶ ¹öÆÛÀÇ »çÀÌÁîµµ ÀÚ¿¬È÷ ÀÛ¾ÆÁö°Ô µÇ¾î ¼Õ½ÇµÇ´Â ÆÐŶµéÀÌ ¹ß»ýÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù. ¶Ç, ÀÛ°Ô ÀâÀ¸¸é ±×¸¸Å­ÀÇ Á¤º¸¸¦ ÀÒ°Ô µÇ´Â °ÍÀÌ´Ù. µû¶ó¼­ °¡±ÞÀû Capture ÇÏ°íÀÚ ÇÏ´Â ÇÁ·ÎÅäÄÝÀÇ Çì´õ »çÀÌÁî¿¡ °¡±õ°Ô Àâ¾ÆÁÖ¾î¾ß ÇÑ´Ù.

o         -T type : Á¶°Ç½Ä¿¡ ÀÇÇØ ¼±ÅÃµÈ ÆÐŶµéÀ» ¸í½ÃµÈ Çü½ÄÀ¸·Î Ç¥½ÃÇÑ´Ù. type¿¡´Â ´ÙÀ½°ú °°Àº °ÍµéÀÌ ¿Ã ¼ö ÀÖ´Ù. rpc(Remote Procedure Call), rtp(Real-Time Applications protocol), rtcp(Real-Time Application control protocol), vat(Visual Audio Tool), dwb(distributed White Board)

o         -S : TCP sequence¹øÈ£¸¦ »ó´ëÀûÀÎ ¹øÈ£°¡ ¾Æ´Ñ Àý´ëÀûÀÎ ¹øÈ£·Î Ãâ·ÂÇÑ´Ù.

o         -t : Ãâ·ÂµÇ´Â °¢°¢ÀÇ ¶óÀο¡ ½Ã°£À» Ãâ·ÂÇÏÁö ¾Ê´Â´Ù.

o         -tt : Ãâ·ÂµÇ´Â °¢°¢ÀÇ ¶óÀο¡ Çü½ÄÀÌ ¾ø´Â ½Ã°£µéÀ» Ãâ·ÂÇÑ´Ù.

o         -v : Á» ´õ ¸¹Àº Á¤º¸µéÀ» Ãâ·ÂÇÑ´Ù.

o         -vv : '-v'º¸´Ù Á» ´õ ¸¹Àº Á¤º¸µéÀ» Ãâ·ÂÇÑ´Ù.

o         -w : ĸÃçÇÑ ÆÐŶµéÀ» ºÐ¼®Çؼ­ Ãâ·ÂÇÏ´Â ´ë½Å¿¡ ±×´ë·Î ÆÄÀÏ¿¡ ÀúÀåÇÑ´Ù.

o         -x : °¢°¢ÀÇ ÆÐŶÀ» Çí»ç ÄÚµå·Î Ãâ·ÂÇÑ´Ù.

o         –xxx : °¢°¢ÀÇ ÆÐŶ¿¡ ´ëÇØ –x º¸´Ù Á»´õ ÀÚ¼¼ÇÏ°Ô Çí»ç ÄÚµå·Î Ãâ·ÂÇÑ´Ù.

 

2 Tcpdump Á¶°Ç½Ä(expression)

o         ¿É¼ÇÀÇ Á¦ÀÏ ¸¶Áö¸·ÀÎ Á¶°Ç½ÄÀº ¾î¶² ÆÐŶµéÀ» Ãâ·ÂÇÒÁö¸¦ ¼±ÅÃÇϴµ¥ ¾²ÀδÙ. Á¶°Ç½ÄÀÌ ÁÖ¾îÁöÁö ¾Ê´Â ´Ù¸é ¸ðµç ÆÐŶµéÀÌ ±× ´ë»óÀÌ µÉ °ÍÀÌ´Ù. ÀÏ´Ü ÁÖ¾îÁö¸é, ¾Æ¹«¸® ÆÐŶµéÀÌ ¸¹¾Æµµ Á¶ °Ç½Ä¿¡ ºÎÇÕÇÏ´Â ÆÐŶ¸¸À» Ãâ·ÂÇÑ´Ù.

o         Á¶°Ç½ÄµéÀº Çϳª ¶Ç´Â ¸î °³ÀÇ primitiveµé·Î ±¸¼ºµÇ¾î ÀÖ´Ù. primitiveµéÀº º¸Åë Çϳª ȤÀº ¸î°³ÀÇ qualifierµé ´ÙÀ½¿¡ ¿À´Â ÇϳªÀÇ °ªÀ¸·Î ÀÌ·ç¾îÁø´Ù. QualifierµéÀº ¸ðµÎ 3 Á¾·ùÀÌ¸ç ´ÙÀ½°ú °°´Ù.

-    type : ÁÖ¾îÁø °ªÀÇ Á¾·ù°¡ ¹«¾ùÀÎÁö¸¦ ³ªÅ¸³½´Ù. °¡´ÉÇÑ typeµéÀº 'host', 'net', 'port'°¡ ÀÖ´Ù. typeÀÌ ¾ø´Â °ªµéÀº typeÀ» host¶ó °¡Á¤ÇÑ´Ù.

-    dir : id·Î ºÎÅÍÀÇ ¾î¶² ƯÁ¤ÇÑ Àü¼Û ¹æÇâÀ» ³ªÅ¸³½´Ù. °¡´ÉÇÑ ¹æÇâÀº 'src', 'dst', 'src or dst', 'src and dst'ÀÌ´Ù. ¸¸¾à ¹æÇâÀÌ Á¤ÇØÁöÁö ¾Ê¾Ò´Ù¸é, src or dst¶ó °¡Á¤ÇÑ´Ù. "For `null' link layers (i.e. point to point protocols such as slip) the in bound and out bound qualifiers can be used to specify a desired direction."

-    proto : ¸ÅĪÀ» ƯÁ¤ ÇÁ·ÎÅäÄÝ¿¡ ÇÑÇؼ­ ¼öÇàÇÑ´Ù. °¡´ÉÇÑ ÇÁ·ÎÅäÄݵéÀº ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp, udpÀÌ´Ù. ¸¸¾à ÇÁ·ÎÅäÄÝÀÌ ¸í½ÃµÇÁö ¾Ê¾Ò´Ù¸é, ÇØ´çÇÏ´Â °ªÀÇ type¿¡ °ü·ÃµÈ ¸ðµç ÇÁ·ÎÅäÄݵéÀÌ ±× ´ë»óÀÌ µÈ´Ù.

ÀÌ ¹Û¿¡µµ À§ÀÇ ÆÐÅÏÀ» µû¸£Áö ¾Ê´Â PrimitiveµéÀÌ Á¸ÀçÇÑ´Ù(gateway, broadcast, less, greater, »ê¼ú½Ä).

-    Á» ´õ Á¤±³ÇÑ Á¶°Ç½ÄµéÀ» »ç¿ëÇÏ·Á¸é, 'and(&&)', 'or(||)', 'not(!)'µéÀ» »ç¿ëÇÏ¿© ¿©·¯ primitiveµéÀ» ¿¬°áÇÏ¸é µÈ´Ù. °°Àº Ç¥ÇöµéÀº »ý·«µÉ ¼ö ÀÖ´Ù.

 

1.3 »ç¿ë °¡´ÉÇÑ Primitive

o         ether broadcast : ÆÐŶÀÌ ethernet broadcast ÆÐŶÀ϶§ Ãâ·Â.
ether
´Â »ý·« °¡´ÉÇÏ´Ù

*# tcpdump ether broadcast.

o         ip broadcast : ÆÐŶÀÌ IP broadcast ÆÐŶÀ϶§ Ãâ·Â. 
     *# tcpdump -i any ip broadcast

o         ether multicast : ÆÐŶÀÌ ether multicast ÆÐŶÀ϶§ Ãâ·Â.

          *# tcpdump ether multicast

o         dst host HOST : packetÀÇ IP destination Ç׸ñÀÌ  HOST ÆÐŶÀ϶§Ãâ·Â.
    
*# tcpdump -i any dst host 10.10.10.1

o         src host HOST : packetÀÇ IP sourceÇ׸ñÀÌ HOSTÆÐŶÀ϶§Ãâ·Â.
     *# tcpdump -i any src host 10.10.10.1

o         host HOST : IP source, IP destination Ç׸ñ Áß ¾î´À Çϳª¶óµµ HOST ÆÐŶÀ϶§ Ãâ·Â.

*# tcpdump -i any host 10.10.10.1

o         ether dst ehost : ethernet destination ÁÖ¼Ò°¡ ehostÆÐŶÀ϶§ Ãâ·Â.

*# tcpdump -i eth01 ether dst 00:00:00:00:00:00

o         ether src ehost : ethernet source ÁÖ¼Ò°¡ ehostÆÐŶÀ϶§ Ãâ·Â.

*# tcpdump -i eth01 ether src 00:00:00:00:00:00

o         ether host ehost : ethernet source, destination Ç׸ñµé Áß ¾î´À Çϳª¶óµµ ehostÆÐŶÀ϶§ Ãâ·Â.
     
*# tcpdump -i eth01 ether host 00:00:00:00:00:00

o         dst port PORT : ÆÐŶÀÌ ip/tcp, ip/udp ÇÁ·ÎÅäÄÝÀÇ ÆÐŶÀÌ°í destination portÀÇ °ªÀÌ PORTÀÏ ¶§ ÂüÀÌ´Ù. port´Â /etc/services¿¡ ¸í½ÃµÈ À̸§ÀÏ ¼öµµ ÀÖ°í ±×³É ¼ýÀÚÀÏ ¼öµµ ÀÖ´Ù. ¸¸¾à À̸§ÀÌ »ç¿ëµÆ´Ù¸é port ¹øÈ£¿Í ÇÁ·ÎÅäÄÝÀÌ °°ÀÌ Ã¼Å©µÉ °ÍÀÌ´Ù. ¸¸¾à ¼ýÀÚ³ª ºÒ È®½ÇÇÑ À̸§ÀÌ »ç¿ëµÆÀ» °æ¿ì¿¡´Â port ¹øÈ£¸¸ÀÌ Ã¼Å©µÉ °ÍÀÌ´Ù.

*# tcpdump -i any src port 23

o         src port PORT : ÆÐŶÀÇ source portÀÇ °ªÀ¸·Î PORT¸¦ °¡Áö¸é        *# tcpdump -i any dst port 23

o         port PORT : ÆÐŶÀÇ source, destination port Áß¿¡ Çϳª¶óµµ PORTÀ̸é ÂüÀÌ´Ù.

*# tcpdump -i any port 23

o         ip proto protocol : ÆÐŶÀÌ ÁöÁ¤µÈ Á¾·ùÀÇ ÇÁ·ÎÅäÄÝÀÇ ip ÆÐŶÀ̸é ÂüÀÌ´Ù. ProtocolÀº icmp, igmp, udp, nd, tcp ÁßÀÇ Çϳª ȤÀº ¸î °³°¡ µÉ ¼ö ÀÖ´Ù. ÁÖÀÇÇÒ Á¡Àº tcp, udp, icmpµéÀº '\'·Î escapeµÇ¾î¾ß ÇÑ´Ù.

*# tcpdump -i any icmp

*# tcpdump -i br1 tcp

*# tcpdump -i br1 udp

o         ether proto protocol : ÆÐŶÀÌ ether typeÀÇ protocolÀ̶ó¸é ÂüÀÌ´Ù. protocolÀº ip, arp, rarp Áß¿¡ Çϳª ȤÀº ¸î°³°¡ µÉ ¼ö ÀÖ´Ù. ip proto protocol¿¡¼­¿Í ¸¶Âù°¡Áö·Î ip, arp, rarp´Â escape µÇ¾î¾ß ÇÑ´Ù.

       *# tcpdump -i eth01 icmp


À̸§ Æнº¿öµå
ºñ¹Ð±Û (üũÇÏ¸é ±Û¾´À̸¸ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ½À´Ï´Ù.)
¿ÞÂÊÀÇ ±ÛÀÚ¸¦ ÀÔ·ÂÇϼ¼¿ä.
   

miwit.com sir.co.kr DNS Powered by DNSEver.com DNS Powered by DNSEver.com