# tcpdump로 패킷 캡처 하기
tcpdump -i any net 111.111.0.0/16 and tcp -w dump.result &
-i any : 모든 포트에 대해 Listen
net 111.111.0.0/16 : 지정된 CIDR 네트워크에 대해 capture
and : combination
AND : and / &&
OR : or / ||
EXCEPT : not / !
tcp : tcp 프로토콜
-w dump.result : 캡춰된 내용 해당 파일에 저장
tcpdump -i any net 123.123.123.123/32 -w dump.result &
123.123.123.123으로 발생되는 트래픽만 캡춰
# tcpdump 결과 파일 읽기
기본 패킷 내역 확인
tcpdump -r dump.result | less
패킷 데이터 확인 #1
tcpdump -qns 0 -X -r dump.result | less
-X : When parsing and printing, in addition to printing the headers of each packet, print the data of each packet (minus its link level header) in hex and ASCII. This is very handy for analysing new protocols.
cf, -xx : ASCII 패킷 정보 없음.
패킷 데이터 확인 #2
tcpdump -qns 0 -A -r dump.result | less
-A : Print each packet (minus its link level header) in ASCII. Handy for capturing web pages.
관련 Tool
wireshark : wireshark.org (Windows, OS X 용)
tcpick
tcpxtract
tshark
# 참고
http://www.tcpdump.org/tcpdump_man.html
https://danielmiessler.com/study/tcpdump/
http://www.thegeekstuff.com/2010/08/tcpdump-command-examples/