how to use tcpdump 다운로드 - how to use tcpdump 소스코드 다운로드

tcpdump 사용 방법

Tcpdump 명령은 tcpdump가 설치된 시스템에 연결된 네트워크를 통해 전송되는 TCPIP 및 기타 네트워크 패킷을 표시하는 데 사용되는 유명한 네트워크 패킷 분석 도구입니다. Tcpdump는 libpcap 라이브러리를 사용하여 네트워크 패킷을 캡처하며 거의 모든 Linux/Unix 버전에서 사용할 수 있습니다.

Linux Tcpdump: ipv6 ntp ping 패킷 필터링

Tcpdump: DHCP 및 DHCPv6 패킷 캡처

Linux의 20가지 고급 Tcpdump 예제

10 유용한 tcpdump 명령 예

TCP 덤프

읽어보기

Tcpdump는 정보 보안 전문가를 위한 최고의 네트워크 분석 도구 중 하나입니다. Tcpdump는 해커와 TCP/IP에 대한 이해가 부족한 사람들을 위한 모든 사람을 위한 것입니다.

옵션

다음은 도구 작업에 도움이 되는 몇 가지 tcpdump 옵션(유용한 예 포함)입니다. 이는 다른 유형의 필터(예: 미묘한 필터)와 잊어버리거나 혼동하기가 매우 쉽습니다. 따라서 이 기사가 저처럼 여러분에게도 참고 자료가 될 수 있기를 바랍니다. :)

첫 번째는 -n으로, 이름이 확인되지 않아 IP 자체가 생성되도록 요청합니다.
두 번째는 -X로, 패킷 내의 16진수와 ASCII 콘텐츠를 모두 표시합니다.
마지막은 -S로, 시퀀스 번호 표시를 상대 표시가 아닌 절대 표시로 변경합니다.

패킷의 내용을 16진수와 ASCII로 표시합니다.

 tcpdump -X ....

-X와 동일하지만 이더넷 헤더도 표시합니다.

 tcpdump -XX

사용 가능한 인터페이스 목록 표시

 tcpdump -D

라인 판독 가능한 출력(저장하면서 보거나 다른 명령으로 보내기 위한 용도)

 tcpdump -l

출력을 덜 장황하게(더 조용하게) 하십시오.

 tcpdump -q

사람이 읽을 수 있는 타임스탬프 출력을 제공합니다.

 tcpdump -t :

최대한 사람이 읽을 수 있는 타임스탬프 출력을 제공합니다.

 tcpdump -tttt :

eth0 인터페이스를 수신합니다.

 tcpdump -i eth0

자세한 출력(v가 많을수록 더 많은 출력이 제공됨)

 tcpdump -vv

x개의 패킷만 얻은 다음 중지합니다.

 tcpdump -c

캡처의 스냅 길이(크기)를 바이트 단위로 정의합니다. 의도적으로 더 적은 양을 캡처하지 않는 한 모든 것을 얻으려면 -s0을 사용하십시오.

 tcpdump -s

절대 시퀀스 번호를 인쇄합니다.

 tcpdump -S

이더넷 헤더도 가져옵니다.

 tcpdump -e

암호화 키를 제공하여 IPSEC 트래픽을 해독합니다.

 tcpdump -E

더 많은 옵션을 보려면 설명서를 읽어보세요.

여기에서 모든 옵션을 찾으세요.
Linux Tcpdump: ipv6 ntp ping 패킷 필터링
Tcpdump: DHCP 및 DHCPv6 패킷 캡처
Linux의 20가지 고급 Tcpdump 예제
10 유용한 tcpdump 명령 예

기본 사용법

사용 가능한 인터페이스 표시

 tcpdump -D
tcpdump --list-interfaces

HTTPS 트래픽을 가져오는 기본 명령부터 시작해 보겠습니다.

 tcpdump -nnSX port 443

IP로 트래픽 찾기

 tcpdump host 1.1.1.1

소스 및/또는 대상으로 필터링

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

네트워크로 패킷 찾기

 tcpdump net 1.2.3.0/24

낮은 출력:

 tcpdump -nnvvS

중간 출력:

 tcpdump -nnvvXS

무거운 출력:

 tcpdump -nnvvXSs 1514

창의력을 발휘하다

표현은 매우 훌륭하지만 tcpdump의 진정한 마법은 원하는 것을 정확하게 분리하기 위해 창의적인 방법으로 표현을 결합하는 능력에서 비롯됩니다.

조합에는 세 가지 방법이 있습니다.

그리고

 and or &&

또는

 or or ||

제외하고

 not or !

사용 예:

192.168.1.1에서 발생하고 포트 3389 또는 22로 향하는 트래픽

 tcpdump 'src 192.168.1.1 and (dst port 3389 or 22)'

고급의

모든 URG 패킷을 표시합니다.

 tcpdump 'tcp[13] & 32 != 0'

모든 ACK 패킷을 표시합니다.

 tcpdump 'tcp[13] & 16 != 0'

모든 PSH 패킷을 표시합니다.

 tcpdump 'tcp[13] & 8 != 0'

모든 RST 패킷을 표시합니다.

 tcpdump 'tcp[13] & 4 != 0'

모든 SYN 패킷을 표시합니다.

 tcpdump 'tcp[13] & 2 != 0'

모든 FIN 패킷을 표시합니다.

 tcpdump 'tcp[13] & 1 != 0'

모든 SYN-ACK 패킷을 표시합니다.

 tcpdump 'tcp[13] = 18'

SYN 및 RST 플래그가 모두 설정된 모든 트래픽을 표시합니다. (이런 일이 발생해서는 안 됩니다)

 tcpdump 'tcp[13] = 6'

"악한 비트"가 설정된 모든 트래픽을 표시합니다.

 tcpdump 'ip[6] & 128 != 0'

모든 IPv6 트래픽 표시:

 tcpdump ip6

캡처된 패킷을 ASCII로 인쇄

 tcpdump -A -i eth0

캡처된 패킷을 HEX 및 ASCII로 표시

 tcpdump -XX -i eth0

패킷을 파일로 캡처 및 저장

 tcpdump -w 0001.pcap -i eth0

캡처된 패킷 파일 읽기

 tcpdump -r 0001.pcap

IP 주소 패킷 캡처

 tcpdump -n -i eth0

TCP 패킷만 캡처합니다.

 tcpdump -i eth0 tcp

특정 포트에서 패킷 캡처

 tcpdump -i eth0 port 22

소스 IP에서 패킷 캡처

 tcpdump -i eth0 src 192.168.0.2

대상 IP에서 패킷 캡처

 tcpdump -i eth0 dst 50.116.66.139

xxxx에서 오는 모든 포장을 캡처합니다.

 tcpdump -n src host x.x.x.x

xxxx에서 들어오고 나가는 모든 패킷을 캡처합니다.

 tcpdump -n host x.x.x.x

xxxx로 가는 모든 패킷을 캡처합니다.

 tcpdump -n dst host x.x.x.x

xxxx에서 오는 모든 포장을 캡처합니다.

 tcpdump -n src host x.x.x.x

네트워크 xxx0/24로 가는 모든 패킷을 캡처합니다.

 tcpdump -n dst net x.x.x.0/24

네트워크 xxx0/24에서 들어오는 모든 패킷을 캡처합니다.

 tcpdump -n src net x.x.x.0/24

대상 포트 x로 모든 패킷 캡처

 tcpdump -n dst port x

포트 x에서 들어오는 모든 패킷을 캡처합니다.

 tcpdump -n src port x

포트 범위 x에서 y까지의 모든 패킷을 캡처합니다.

 tcpdump -n dst(or src) portrange x-y

x에서 y까지의 TCP 또는 UDP 포트 범위를 캡처하세요.

 tcpdump -n tcp(or udp) dst(or src) portrange x-y

dst ip xxxx 및 포트 y를 사용하여 모든 패킷을 캡처합니다.

 tcpdump -n "dst host x.x.x.x and dst port y"

dst ip xxxx 및 dst 포트 x, z를 사용하여 모든 패킷 캡처

 tcpdump -n "dst host x.x.x.x and (dst port x or dst port z)"

ICMP, ARP 캡처

 tcpdump -v icmp(or arp)

인터페이스 eth0에서 패킷을 캡처하고 cap.txt 파일에 덤프합니다.

 tcpdump -i eth0 -w cap.txt

16진수 출력으로 패킷 콘텐츠 가져오기

 tcpdump -c 1 -X icmp

특정 포트와 관련된 트래픽 표시

 tcpdump port 3389 
tcpdump src port 1025

단일 프로토콜의 트래픽 표시

 tcpdump icmp

IP로 트래픽 찾기

 tcpdump host 1.1.1.1

소스 및/또는 대상으로 필터링

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

네트워크로 패킷 찾기

 tcpdump net 1.2.3.0/24

16진수 출력으로 패킷 콘텐츠 가져오기

 tcpdump -c 1 -X icmp

특정 포트와 관련된 트래픽 표시

 tcpdump port 3389 
tcpdump src port 1025

단일 프로토콜의 트래픽 표시

 tcpdump icmp

IP6 트래픽만 표시

 tcpdump ip6

포트 범위를 사용하여 트래픽 찾기

 tcpdump portrange 21-23

패킷 크기를 기준으로 트래픽 찾기

 tcpdump less 32 
 tcpdump greater 64 
 tcpdump <= 128
 tcpdump => 128

파일에 캡처 읽기/쓰기(pcap)

 tcpdump port 80 -w capture_file
tcpdump -r capture_file

조합에 관한 모든 것

원시 출력 보기

 tcpdump -ttnnvvS

다음은 결합된 명령의 몇 가지 예입니다.

특정 IP에서 특정 포트로 향함

 tcpdump -nnvvS src 10.5.2.3 and dst port 3389

한 네트워크에서 다른 네트워크로

 tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

특정 IP로 이동하는 비 ICMP 트래픽

 tcpdump dst 192.168.0.2 and src net and not icmp

특정 포트에 있지 않은 호스트로부터의 트래픽

 tcpdump -vv src mars and not dst port 22

TCP RST 플래그를 분리합니다.

 tcpdump 'tcp[13] & 4!=0'
tcpdump 'tcp[tcpflags] == tcp-rst'

TCP SYN 플래그를 분리합니다.

 tcpdump 'tcp[13] & 2!=0'
tcpdump 'tcp[tcpflags] == tcp-syn'

SYN 및 ACK 플래그가 모두 설정된 패킷을 격리합니다.

 tcpdump 'tcp[13]=18'

TCP URG 플래그를 분리합니다.

 tcpdump 'tcp[13] & 32!=0'
tcpdump 'tcp[tcpflags] == tcp-urg'

TCP ACK 플래그를 분리합니다.

 tcpdump 'tcp[13] & 16!=0'
tcpdump 'tcp[tcpflags] == tcp-ack'

TCP PSH 플래그를 분리합니다.

 tcpdump 'tcp[13] & 8!=0'
tcpdump 'tcp[tcpflags] == tcp-psh'

TCP FIN 플래그를 분리합니다.

 tcpdump 'tcp[13] & 1!=0'
tcpdump 'tcp[tcpflags] == tcp-fin'

거의 매일 사용하는 명령

SYN 및 RST 모두 설정

 tcpdump 'tcp[13] = 6'

HTTP 사용자 에이전트 찾기

 tcpdump -vvAls0 | grep 'User-Agent:'
tcpdump -nn -A -s1500 -l | grep "User-Agent:"

egrep과 여러 일치 항목을 사용하면 요청에서 사용자 에이전트와 호스트(또는 다른 헤더)를 얻을 수 있습니다.

 tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

HTTP GET 및 POST 패킷만 캡처하고 GET과 일치하는 패킷만 캡처합니다.

 tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

HTTP 요청 URL 추출

 tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

POST 요청에서 HTTP 비밀번호 추출

 tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

서버와 클라이언트에서 쿠키 캡처

 tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

모든 ICMP 패킷 캡처

 tcpdump -n icmp

ECHO/REPLY(표준 ping)가 아닌 ICMP 패킷 표시

 tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

SMTP/POP3 이메일 캡처

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

NTP 쿼리 및 응답 문제 해결

 tcpdump dst port 123

FTP 자격 증명 및 명령 캡처

 tcpdump -nn -v port ftp or ftp-data

캡처 파일 회전

 tcpdump  -w /tmp/capture-%H.pcap -G 3600 -C 200

IPv6 트래픽 캡처

 tcpdump -nn ip6 proto 6

UDP를 사용하고 이전에 저장된 캡처 파일에서 읽는 IPv6입니다.

 tcpdump -nr ipv6-test.pcap ip6 proto 17

네트워크 트래픽에서 포트 스캔 감지

 tcpdump -nn

사용예

Nmap NSE 스크립트 테스트를 보여주는 필터 예

목표에:

 nmap -p 80 --script=http-enum.nse targetip

서버에서:

 tcpdump -nn port 80 | grep "GET /"
  
     GET /w3perl/ HTTP/1.1
     GET /w-agora/ HTTP/1.1
     GET /way-board/ HTTP/1.1
     GET /web800fo/ HTTP/1.1
     GET /webaccess/ HTTP/1.1
     GET /webadmin/ HTTP/1.1
     GET /webAdmin/ HTTP/1.1

모든 비로컬 호스트의 시작 및 종료 패킷 캡처

 tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

DNS 요청 및 응답 캡처

Tcpdump로 DNS 필터링

 tcpdump -i wlp58s0 -s0 port 53

HTTP 데이터 패킷 캡처

 tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

패킷별 상위 호스트

 tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

모든 일반 텍스트 비밀번호 캡처

 tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '

DHCP 예

 tcpdump -v -n port 67 or 68

일반 텍스트 GET 요청

 tcpdump -vvAls0 | grep 'GET'

HTTP 호스트 헤더 찾기

 tcpdump -vvAls0 | grep 'Host:'

HTTP 쿠키 찾기

 tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'

SSH 연결 찾기

 tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'

DNS 트래픽 찾기

 tcpdump -vvAs0 port 53

FTP 트래픽 찾기

 tcpdump -vvAs0 port ftp or ftp-data

NTP 트래픽 찾기

 tcpdump -vvAs0 port 123

SMTP/POP3 이메일 캡처

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

라인 버퍼 모드

 tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

사악한 비트로 트래픽 찾기

 tcpdump 'ip[6] & 128 != 0'

프로토콜(ICMP) 및 프로토콜별 필드(ICMP 유형) 필터링

Tcpdump: Tcp 플래그를 사용하여 패킷 필터링

tcpdump -n icmp 및 'icmp[0] != 8 및 icmp[0] != 0'

사전 정의된 헤더 필드 오프셋(icmptype) 및 ICMP 유형 필드 값(icmp-echo 및 icmp-echoreply)과 함께 동일한 명령을 사용할 수 있습니다.

 tcpdump -n icmp and icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply

TOS 필드 필터링

 tcpdump -v -n ip and ip[1]!=0

TTL 필드 필터링

 tcpdump -v ip and 'ip[8]<2'

TCP 플래그(SYN/ACK) 필터링

 tcpdump -n tcp and port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'

위의 예에서는 TCP SYN 플래그가 설정된 모든 패킷이 캡처됩니다. 다른 플래그(예: ACK)도 설정될 수 있습니다. TCP SYN 플래그만 설정된 패킷을 캡처할 수 있습니다.

 tcpdump tcp and port 80 and 'tcp[tcpflags] == tcp-syn'

TCP SYN/ACK 패킷(일반적으로 서버의 응답)을 포착합니다.

 tcpdump -n tcp and 'tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack)'
tcpdump -n tcp and 'tcp[tcpflags] & tcp-syn == tcp-syn' and 'tcp[tcpflags] & tcp-ack == tcp-ack'

ARP 패킷 잡기

 tcpdump -vv -e -nn ether proto 0x0806

IP 패킷 길이 필터링

 tcpdump -l icmp and '(ip[2:2]>50)' -w - |tcpdump -r - -v ip and '(ip[2:2]<60)'

참고: tcpdump의 일부 버그로 인해 다음 명령은 예상대로 패킷을 포착하지 못합니다.

 tcpdump -v -n icmp and '(ip[2:2]>50)' and '(ip[2:2]<60)'

캡슐화된 콘텐츠 필터링(PPPoE 내의 ICMP)

 tcpdump -v -n icmp

더 조용하게

 tcpdump -q -i eth0
tcpdump -t -i eth0
tcpdump -A -n -q -i eth0 'port 80'
tcpdump -A -n -q -t -i eth0 'port 80'

HTTP 트래픽에서 유용한 패킷만 인쇄

 tcpdump -A -s 0 -q -t -i eth0 'port 80 and ( ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12:2]&0xf0)>>2)) != 0)'

SIP 트래픽 덤프

 tcpdump -nq -s 0 -A -vvv port 5060 and host 1.2.3.4

패킷 내용 확인

 tcpdump -i any -c10 -nn -A port 80

패킷 내용 확인

 sudo tcpdump -i any -c10 -nn -A port 80

참고 자료 및 멋진 위키

Tcpdump를 사용하여 ICMP 패킷 캡처

Tcpdump를 사용하여 SSH 패킷 디버깅

Tcpdump를 사용하여 DNS 패킷 필터링

tcpdump 빠른 가이드 알아보기

Tcpdump로 DNS 필터링

Tcpdump를 사용하여 CDP LLDP 패킷 필터링

Tcpdump 치트 시트(기본 고급 예)

끝!

확장하다