패킷 캡처는 네트워크 내부 작동을 분석하는 매우 유용한 방법입니다. 이를 위해 개발된 다양한 도구가 있습니다. 그 중 하나는 tcpdump입니다. 여기에서는 네트워크 엔지니어와 침투 테스터 모두를 위해 이 훌륭한 도구를 최대한 활용하는 방법을 보여줍니다.
tcpdump란 무엇입니까?
tcpdump는 로렌스 버클리 연구소와 네트워크 연구 그룹에서 일하는 컴퓨터 과학자 팀이 1988년에 개발 및 출시한 네트워크 패킷 분석기 도구입니다. 컴퓨터가 보내고 받는 패킷의 내용을 표시하는 데 사용됩니다. 이 유틸리티는 패킷 캡처를 보다 구체적이고 집중적으로 만들기 위한 다양한 옵션과 함께 제공됩니다. 이러한 옵션 중 일부에는 다양한 네트워킹 프로토콜과 네트워크 인터페이스가 포함됩니다.
설치
많은 Linux 배포판은 상자에서 꺼내자마자 설치된 유틸리티와 함께 제공됩니다. 그러나 선택한 배포판이 그렇지 않은 경우 설치는 운 좋게도 빠르고 간단합니다.
예를 들어 Ubuntu 또는 Debian을 사용하는 경우 apt를 사용하여 설치할 수 있습니다. :
sudo apt install tcpdump
CentOS에서는 yum을 사용하여 동일한 작업을 수행합니다. :
sudo yum install tcpdump
그리고 Arch Linux에서 pacman을 사용하여 :
sudo pacman -S tcpdump
기본 사항
tcpdump가 설치된 상태에서 -h를 사용하여 설명서를 볼 수 있습니다. 플래그:
tcpdump -h
도구를 사용할 때 사용할 수 있는 플래그 목록이 표시됩니다.
보다 포괄적이고 상세한 매뉴얼을 보고 싶으시면 man 메뉴얼을 이용하여 매뉴얼 페이지(manual page)를 보실 수 있습니다. 명령:
man tcpdump
다음을 입력하여 기본 패킷 캡처를 실행할 수 있습니다.
tcpdump
명령만 사용하고 네트워크 인터페이스를 지정하지 않으면 도구가 시스템에서 사용 가능한 인터페이스 중 하나를 선택합니다.
tcpdump가 호스트 이름을 확인하지 않고 IP 주소만 출력하도록 하려면 -n을 사용할 수 있습니다. 플래그:
tcpdump -n
캡처하려는 패킷 수를 지정하려면 -c를 사용하십시오. 플래그:
tcpdump -c [number of packets]
네트워크 인터페이스 지정
-i를 사용하여 선택한 네트워크 인터페이스를 지정할 수 있습니다. 플래그:
tcpdump -i [interface]
대부분의 시스템에서 가장 일반적인 두 가지 네트워크 인터페이스 이름은 eth0 및 wlan0입니다.
tcpdump -i eth0 tcpdump -i wlan0
모든 인터페이스에서 데이터를 캡처하려면 any 옵션:
tcpdump -i any
포트/포트 범위 지정
특정 포트 번호를 사용하는 데이터만 캡처하려면 다음 명령을 사용하십시오.
tcpdump -i [interface] port [port number]
eth0에서 트래픽을 캡처하려고 한다고 가정해 보겠습니다. 인터페이스 및 포트 443(HTTPS)용. 다음을 입력하십시오.
tcpdump -i eth0 port 443
또한 tcpdump를 사용하여 포트 범위를 지정할 수 있습니다.
tcpdump -i [interface] portrange [port range]
호스트 또는 서브넷 지정
캡처된 패킷을 특정 호스트 또는 서브넷에서 보내거나 받은 패킷으로만 제한하려는 경우가 있습니다. 운 좋게도 tcpdump를 사용하면 그렇게 할 수 있습니다.
다음 형식을 사용하여 호스트를 지정할 수 있습니다.
tcpdump -i [interface] host [host]
예를 들어 eth0 인터페이스에서 트래픽을 캡처하고 호스트를 127.0.0.1(자신의 루프백 IP 주소)로 지정합니다.
tcpdump -i eth0 host 127.0.0.1
CIDR 표기법을 사용하여 네트워크 서브넷을 지정하려는 경우 다음 형식을 사용할 수 있습니다.
tcpdump -i [interface] net [subnet]
예:
tcpdump -i eth0 net 10.0.0.0/8
소스 호스트를 직접 지정할 수도 있습니다.
tcpdump -i [interface] src [host]
그리고 대상 호스트:
tcpdump -i [interface] dst [host]
상세 설명 지정
tcpdump를 사용하면 패킷 캡처의 자세한 정도를 지정할 수 있습니다. 이것은 캡처하는 동안 정보의 양에 압도당하고 싶지 않을 때 매우 유용합니다.
자세한 정보 표시에 대한 세 가지 증분 옵션인 -v 플래그가 있습니다. , -vv 및 -vvv :
tcpdump -i [interface] -v tcpdump -i [interface] -vv tcpdump -i [interface] -vvv
첫 번째 옵션은 가장 자세한 정보를 지정하고 세 번째 옵션은 가장 자세한 정보를 지정합니다.
캡처를 파일에 저장
캡처한 데이터를 파일에 저장하면 추가로 분석하고 해석할 수 있는 경우가 많습니다.
이것은 -w를 사용하여 수행됩니다. 플래그:
tcpdump -i [interface] -w [filename]
예를 들어 캡처한 데이터를 "capture.txt"라는 파일에 저장할 수 있습니다.
tcpdump -i eth0 -w capture.txt
자주 묻는 질문(FAQ)
1. "작업이 허용되지 않음" 오류가 발생했습니다. 어떻게 해결합니까?
다음은 사용자가 tcpdump를 사용하려고 할 때 받을 수 있는 일반적인 오류입니다.
tcpdump는 패킷 캡처를 수행하는 데 필요한 권한이 없을 때 이 오류를 표시합니다. 대부분의 시나리오에서 sudo를 사용하여 이 문제를 해결할 수 있습니다. . 예:
sudo tcpdump -i eth0
2. 어떤 네트워크 인터페이스를 사용할 수 있는지 어떻게 알 수 있습니까?
tcpdump에는 시스템에서 사용 가능한 네트워크 인터페이스를 확인할 수 있는 기능이 내장되어 있습니다.
인터페이스를 확인하려면 -D를 사용하십시오. 플래그:
tcpdump -D