tcpdump 로 네트워크 패킷 분석하는 방법

다른 서버 또는 서비스와 통신이 안 될 때 어디까지 통신이 되는지 확인 할 때 유용합니다.

리눅스 서버에 tcpdump 명령어가 설치되어 있어야 사용 가능합니다.

 

tcpdump -lnni eth1 host 192.168.0.100 and port 80 -s 0 -w /tmp/eth1_client_20120627.pcap -v

 

et1은 리눅스 서버의 랜카드명을 의미합니다. 통상 eth0인데 메인으로 사용 중인 랜카드명을 지정하면 됩니다. 192.168.0.100는 목적지 아이피입니다. 즉, 통신을 시도하고자 하는 서버의 아이피입니다. 80은 해당 서버에 접근할 포트 번호입니다.

통신한 패킷을 /tmp/eth1_client_20120627.pcap 파일명으로 저장하라는 의미입니다. -v 는 저장 시 저장 되고 있는 파일 사이즈를 화면에 출력함을 의미합니다.

eth1_client_20120627.pcap 파일을 https://www.wireshark.org/ 와이어샤크 프로그램으로 열어보면 패킷이 오고 가는 것을 확인할 수 있고 앞단에 아이피 정보가 보입니다.

대략적인 내용을 복사해서 챗지피티에게 문의하면 되겠습니다.

 

 

 

옵션설명

-l	표준 출력 버퍼링 해제 (리얼타임 출력 가능)
-n	IP 주소를 호스트 이름으로 변환하지 않음
-n	(중복 사용) 포트 번호를 서비스 이름으로 변환하지 않음
-i eth1	eth1 인터페이스에서 패킷 캡처 수행
host 192.168.0.100 and port 80	대상 IP가 192.168.0.100이고 포트가 80인 트래픽만 캡처
-s 0	패킷 전체 길이 캡처 (0은 최대 크기)
-w /tmp/eth1_client_20120627.pcap	패킷을 /tmp/eth1_client_20120627.pcap 파일로 저장
-v	출력 시 추가 정보 표시 (단, -w와 함께 사용하면 거의 영향 없음)