Ⅰ. TCP 덤프란 ?
Linux, Unix 계열에서는 기본적으로 TCPDUMP 가 설치되어있으며, 해당 툴을 사용하여 인터페이스 내 송수신 받는 패킷을 가로채고 표시할 수 있습니다.
Ⅱ. TCP 덤프 동작 방식
Linux, Unix 계열에서 동작하며, libpcap 라는 라이브러리를 통해 패킷을 포획함.
Windows 계열에서는 WinDump 가 있으며, WinPcap 이라는 라이브러리를 통해 패킷을 포획함.
Ⅲ. TCP 의 덤프의 사용방법
tcpdump [ -aAbdDefhHJKLnNOpqStuvxX# ][ -B size ][ -c count ][ -C file_size ]][ -E algo:secret ][ -F file ]
[ -G seconds ][ -i interface ][-j tstamptype][ -M secret ][--numbe][ -r file ][ -s snaplen ][ -T type ][ -w file ][ -W filecount [ -y datalinktype ][ -z postrotate-command ][ -Z user ]
ex) 사용 예시
tcpdump -i eth0 src 192.168.10.55 and tcp port 80
인터페이스가 eth0 이고 목적지 IP가 192.168.10.55이면서 TCP 80 포트인 패킷 보여줌
tcpdump -ni eth0 host 192.168.10.55 and tcp port 80 -w /var/log/tcpdumptest.pcap
인터페이스가 eth0 이고 IP가 192.168.10.55이면서 TCP 80 포트인 패킷을 수집하여 /var/log/tcpdumptest.pcap 으로 저장 tcpdump -r tcpdumptest.pcap
저장한 tcpdumptest.pcap 파일을 읽음
Ⅳ. TCP 덤프 사용 추가 활용 옵션
1) -nn : 출력시 호스트/서비스명이 아닌 IP주소와 Port번호로 출력
2) -v, -vv, -vvv: 패킷을 헤더부까지 자세하게, 더 자세하게 출력
3) IP주소는 192.168.0.1/24와 같이 CIDR 포맷으로 지정 가능
4) and = "&&" , or = "||", not = "!" 조건을
'시스템보안(Linux)' 카테고리의 다른 글
| CentOS 의 후속작 로키 (Rocky) 리눅스에 대해 알아보겠습니다. (0) | 2022.12.29 |
|---|---|
| 리눅스 파일 구조 및 권한에 대해 알아보도록 하겠습니다. (0) | 2022.12.24 |
| 리눅스 시스템보안에 대해 알아보겠습니다. (0) | 2022.12.19 |
| /etc/passwd /etc/passwd 파일 구조와 의미에 대해 알아보겠습니다 (0) | 2022.12.07 |
| 리눅스(linux) hostname 변경 방법 (CentOS 6, 7) (0) | 2022.11.29 |