tcpdump는 리눅스에서 네트워크 트래픽을 캡처하고 분석할 수 있는 강력한 명령어입니다. 네트워크 인터페이스에서 오가는 패킷을 실시간으로 모니터링할 수 있으며, 이를 통해 네트워크 문제를 파악하거나 침입 탐지에 활용할 수 있습니다. tcpdump는 네트워크 관리자나 보안 전문가가 자주 사용하는 도구로, 리눅스에서 네트워크 트래픽을 진단하고 분석하는 데 매우 유용합니다.
tcpdump 기본 사용법
sudo tcpdump [옵션]tcpdump는 root 권한이 필요하므로, 보통 sudo 명령어와 함께 실행해야 합니다. 기본적으로 tcpdump를 실행하면, 현재 시스템의 기본 네트워크 인터페이스에 대한 패킷 캡처가 시작됩니다.
기본 예시
기본적으로 tcpdump 명령어를 실행하면, 네트워크 트래픽을 실시간으로 볼 수 있습니다.
user@linux:~$ sudo tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:04:01.123456 IP 192.168.1.10.60244 > 192.168.1.1.80: Flags [S], seq 123456789, win 29200, options [mss 1460,sackOK,TS val 123456 ecr 0,nop,wscale 7], length 0위 예시는 eth0 인터페이스에서 오가는 패킷을 실시간으로 모니터링하는 상황입니다.
특정 인터페이스에서 트래픽 캡처
-i 옵션을 사용하여 특정 네트워크 인터페이스에서 트래픽을 캡처할 수 있습니다. 예를 들어, eth0 인터페이스에서만 트래픽을 모니터링하고 싶다면 다음과 같이 실행합니다.
sudo tcpdump -i eth0user@linux:~$ sudo tcpdump -i eth0
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:10:45.123456 IP 192.168.1.100.60244 > 192.168.1.1.80: Flags [S], seq 987654321, win 29200, length 0특정 포트의 트래픽 캡처
tcpdump 명령어를 통해 특정 포트에서 오가는 트래픽을 필터링할 수 있습니다. 예를 들어, 포트 80(HTTP)에서 오가는 트래픽만 보고 싶다면 다음과 같이 실행합니다.
sudo tcpdump port 80user@linux:~$ sudo tcpdump port 80
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:15:30.123456 IP 192.168.1.10.60244 > 192.168.1.1.80: Flags [S], seq 456123789, win 29200, length 0결과를 파일로 저장
tcpdump는 캡처한 패킷을 파일로 저장할 수 있습니다. -w 옵션을 사용하여 캡처한 트래픽을 파일로 저장한 후, 나중에 분석할 수 있습니다.
sudo tcpdump -i eth0 -w capture.pcap이 명령어는 eth0 인터페이스의 트래픽을 capture.pcap 파일에 저장합니다. 나중에 이 파일을 분석하려면 -r 옵션을 사용합니다.
sudo tcpdump -r capture.pcap특정 IP 주소의 트래픽 필터링
특정 IP 주소에 대한 트래픽을 필터링하려면 host 옵션을 사용합니다. 예를 들어, 192.168.1.10 IP 주소에 대한 트래픽만 모니터링하려면 다음과 같이 실행합니다.
sudo tcpdump host 192.168.1.10user@linux:~$ sudo tcpdump host 192.168.1.10
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:20:00.123456 IP 192.168.1.10.60244 > 192.168.1.1.80: Flags [S], seq 321456987, win 29200, length 0tcpdump 사용 시 주의사항
tcpdump는 네트워크 트래픽을 캡처하는 동안 시스템 리소스를 많이 사용할 수 있습니다. 따라서 많은 트래픽을 캡처할 때는 필터링 옵션을 적극 활용하여 불필요한 데이터 캡처를 방지하는 것이 좋습니다.
참고사이트
'Linux' 카테고리의 다른 글
| [리눅스] hdparm 명령어 완벽 가이드 사용법(하드 디스크 성능 측정/튜닝) (0) | 2024.10.24 |
|---|---|
| [리눅스] dmidecode 명령어 완벽 가이드 사용법(시스템 하드웨어 정보 확인) (0) | 2024.10.24 |
| [리눅스] tshark 명령어 완벽 가이드 사용법(Wireshark의 CLI 버전) (0) | 2024.10.24 |
| [리눅스] iftop 명령어 완벽 가이드 사용법(네트워크 트래픽 모니터링) (1) | 2024.10.24 |
| [리눅스] ip rule 명령어 완벽 가이드 사용법(고급 라우팅 규칙 설정) (0) | 2024.10.23 |
| [리눅스] fail2ban 명령어 완벽 가이드 사용법(보안 침해 방지 도구) (1) | 2024.10.23 |
| [리눅스] ufw 명령어 완벽 가이드 사용법(간단한 방화벽 설정) (0) | 2024.10.23 |
| [리눅스] ss 명령어 완벽 가이드 사용법(네트워크 연결 및 소켓 상태 확인) (0) | 2024.10.23 |