07. [tcpdump] 명령어 텍스트 기반 패킷 분석기

# Tcpdump

  : 가장 오래된(?) 텍스트 기반 패킷 분석기

 

# 사용법

  : Tcpdump [option] [expression] [and] [option] [expression]

 

# [option]

option	설명	option	설명
-c	Count  (해당 Packet 만큼 받고 중지)	-s	크기
-i	Network Interface Card (예, eth1)	-t	타임 스탬프 생략
-n	DNS resolv 금지	-v, -vv, -vvv	verbose
-nn	Port resolv 금지	-x	hex
-w	저장	-X	ascii /hex 동시 출력
-r	불러오기	-s	absolute seq.

# [expression]

   ex) src(출발지주소), dst(목적지주소)

          tcpdump -i eth0 src 192.168.10.1 => 출발지 패킷만 확인

   ex) port , protodcol

          tcpdump -i eth0 port [80]

          tcpdump -i eth0 proto [tcp, udp, arp, icmp]

   ex) and, or, not

          tcpdump -i eth0 port 80 and src 192.168.102.20

   ex) host, net

          tcpdump -i eth0 host [host명 or IP]

          tcpdump -i eth1 net [x.x.x.x/24 or 0.0.0.0/25]

# Tcp Flag

Tcp Flag	Flag	의미
Syn	S	Tcp 세션 연결 요청
Ack	ACK	다른 Flag와 함께 결합하여 사용, 부가적 기능
Fin	F	수신 host의 연결을 정상적으로 종료
Reset	R	수신 host 와 연결을 즉시 종료
Push	P	응용 소프트웨어 데이터를 송신 host로 전송
Urgent	urg	긴급한 데이터로 다른 데이터에 우선
Placeholder	.	Tcp 연결 과정이 Syn, Fin, Reset, Push Flag 로 종료 X   마침표가 목적지 포트 뒤에 표시