[Linux] tcpdump 옵션 및 명령어

tcpdump [options] [expression] [host]

-i device : 어느 인터페이스를 경유하는 패킷들을 잡을지 지정

-c number : 제시된 수의 패킷을 받은 후 종료

-w : 캡춰한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장

-n : 모든 주소들을 번역하지 않는다(port,host address 등등)

-v : 좀 더 많은 정보들을 출력한다.

-vv : ‘-v’보다 좀 더 많은 정보들을 출력한다.

EX>

# tcpdump -i eth0 => 인터페이스 eth0 을 보여줌

# tcpdump -w tcpdump.log => 결과를 파일로 저장, txt 가 아닌 bin 형식으로 저장됨

# tcpdump -r tcpdump.log => 저장한 파일을 읽음

# tcpdump -i eth0 -c 10 => 카운터 10개만 보여줌

# tcpdump -i eth0 tcp port 80 => tcp 80 포트로 통신하는 패킷 보여줌

# tcpdump -i eth0 src 192.168.0.1 => source ip 가 192.168.0.1인 패킷 보여줌

# tcpdump -i eth0 dst 192.168.0.1 => destination ip 가 192.168.0.1인 패킷 보여줌

* and 옵션으로 여러가지 조건의 조합 가능

# tcpdump -i eth0 src 192.168.0.1 and tcp port 80 => source ip 가 192.168.0.1이면서 tcp port 80 인 패킷 보여줌

# tcpdump -i eth0 dst 192.168.0.1 => dest ip 가 192.168.0.1인 패킷 보여줌

# tcpdump host 192.168.0.1 => host 를 지정하면, 이 ip 로 들어오거가 나가는 양방향 패킷 모두 보여줌

# tcpdump src 192.168.0.1 => host 중에서 src 가 192.168.0.1인것 만 지정

# tcpdump dst 192.168.0.1 => host 중에서 dst 가 192.168.0.1인것 만 지정

# tcpdump net 192.168.0.1/24 => CIDR 포맷으로 지정할 수 있다.

# tcpdump tcp => TCP 인것만

# tcpdump udp => UDP 인것만

# tcpdump port 3389 => 포트 양뱡항으로 3389인 것.

# tcpdump src port 3389 => src 포트가 3389인 것.

# tcpdump dst port 3389 => dst 포트가 3389인 것.

# tcpdump udp and src port 53 => UDP 이고 src 포트가 53 인 것

# tcpdump src x.x.x.x and not dst port 22 => src ip 가 x.x.x.x 이고 dst 포트가 22 가 아닌 것

# tcpdump 'src x.x.x.x and ( dst port 3389 or 22 )'

참고

http://www.loelab.com/tcpdump-%EC%82%AC%EC%9A%A9%EB%B2%95/