Tcpdump, WinDump   Tcpdump 유틸리티

(2019-03-04)

tcpdump, windump

Top > [기술공통]
[기초과학]
[진동/파동]
[방송/멀티미디어/정보이론]
[전기전자공학]
[통신/네트워킹]
[정보기술(IT)]
[공업일반(기계,재료등)]
[표준/계측/품질]
[기술경영]
통신/네트워킹 >   1. 통신 이란?
  2. 신뢰적 통신
[통신이론]
[선로/전송]
[통신망 일반]
[회선교환(PSTN)]
[무선/이동통신]
[광통신]
[인터넷/데이터통신]
인터넷/데이터통신 >   1. 데이터통신망
  2. 인터넷
  3. 데이터 네트워크 설계
[데이터 단위]
[프로토콜/계층]
[데이터 링크]
[TCP/IP]
[라우팅]
[인터넷 QoS]
[인터넷 관리]
[인터넷 응용]
[인터넷 기타]
[패킷교환(PSN)]
[인터넷 관련 기관]
TCP/IP >   1. TCP/IP 이란?
[IP 계층]
[전송계층(UDP,TCP,SCTP,포트번호)]
[DHCP]
[TCP/IP 유틸리티]
[TCP/IP 기타일반]
TCP/IP 유틸리티   1. ifconfig/ipconfig
  2. inetd
  3. netstat
  4. ping
  5. rlogin,rsh
  6. finger
  7. tcpdump

Top > [기술공통]
[기초과학]
[진동/파동]
[방송/멀티미디어/정보이론]
[전기전자공학]
[통신/네트워킹]
[정보기술(IT)]
[공업일반(기계,재료등)]
[표준/계측/품질]
[기술경영]
정보기술(IT) >   1. 정보기술
[전산기초]
[컴퓨터구조]
[프로그래밍]
[데이터베이스]
[소프트웨어 공학]
[운영체제]
[정보보호/보안]
[IT 기타기술]
정보보호/보안 > [정보보호관리]
[정보보호(기타일반)]
[보안공격]
[암호기술]
[네트워크보안]
[인증]
네트워크보안 >   1. IP 가상사설망
  2. 상태반영검사(SPI)
  3. 패킷 필터링
  4. 터널링
[링크 레벨 보안]
[IP 레벨 보안]
[전송 레벨 보안]
[시스템 보안]
[네트워크/프로토콜 분석]
네트워크/프로토콜 분석   1. 프로토콜 분석기
  2. 스니핑
  3. 포트 미러링,SPAN
  4.
  5. 무차별 모드
  6. 와이어샤크
  7. tcpdump/windump
  8. 버클리 패킷 필터

1. tcpdump (유닉스용) / windump (윈도우즈용)CLI 기반의 패킷 캡쳐 모니터링을 위한 유틸리티 프로그램
     - 실시간 모니터링 및 미리 캡쳐된 파일모니터링 모두 가능
     - 계층 1에서 계층 7까지 대부분의 패킷을 볼 수 있음
     * 패킷별 보다 자세한 분석은 다른 툴(tcppreplay,tcpopera 등) 사용이 필요함

  ※ (출현)
     - 1987년 로렌스 버클리 연구소의 밴 제이콥슨,크레이그 레레스,스티브 맥캔에 의해 작성됨


2. tcpdump/windump 활용 例네트워크 상의 패킷 캡쳐용 API
     * (tcpdump 기동 전에 관리자 권한으로 반드시 수행 필요 ☞ Promiscuous Mode)
     - (유닉스 계열)   libpcap
     - (윈도우즈 계열) WinPcap                                  ☞ www.winpcap.org
        . 윈도우즈 명령창(관리자 권한)에서, net start npf 를 입력하여 실행
        . (NPF : NetGroup Packet Filter Driver)

  ㅇ 인터페이스 선택 (여러 인터페이스가 있을 경우 해당되는 것을 선택 필요)
     - tcpdump -i 인터페이스번호

  ㅇ 필터 사용 (너무 빨리 스크롤되므로 매우 유용)
     - IP 주소 또는 호스트명 지정
        . tcpdump host 192.168.0.2 또는 tcpdump host www.ktword.co.kr
     - 수신지 또는 발신지 지정 
        . (송신지 만) tcpdump src 192.168.0.1
        . (수신지 만) tcpdump dst 192.168.0.2
        . (송수 모두) tcpdump 'src 192.168.0.1 and dst 192.168.0.2'
     - 서브네트워크 지정 (CIDR 표기 방식) 
        . tcpdump net 192.168.0.0/24

     * 여러 필터 동시 사용 例 
        . tcpdump 'tcp and src port 80 and net 192.168.1.0/24'
           .. 프로토콜 tcp, 송신지 포트번호 80, 서브네트워크 192.168.1.0/24에 관련된 패킷 만

  ㅇ 캡쳐 내용을 파일로 저장 및 읽기 
     - (쓰기) tcpdump -w 파일명 ...
     - (읽기) tcpdump -r 파일명 ...


3. 옵션 사용 예시

  ㅇ tcpdump
     
tcpdump [-aAbdDefhHIJKlLnNOpqRStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ]
        [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ]
        [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q in|out|inout ]
        [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
        [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ] [ -w file ]
        [ -W filecount ] [ -y datalinktype ] [ -z command ]
        [ -Z user ]
        [ expression ]
ㅇ windump
windump [-aAdDefhlLnNOpqRStuUvxX] [ -B size ] [ -c count ] [ -C file_size ]
        [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
        [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
        [ -W filecount ] [ -y datalinktype ] [ -Z user ]
        [ expression ]
※ (파라미터 설명) - [expression]까지의 파라미터들은 명령/지시자 . -D : 현재 유효한 네트워크 인터페이스 리스트 출력 (ifconfig -a와 유사) . -f : 로컬이 아닌 모든 원격 IP 주소를 출력 . -n : tcpdump가 DNS lookup을 통해 IP 주소호스트명으로 해석 변환하지 않게 함 . -S : TCP에서 상대 순서번호가 아닌 절대 순서번호를 출력 . -x : 패킷 내용을 16 진수로 출력 . -X : 패킷 내용을 16 진수 및 아스키 형태로 출력 . -c 패킷수 : 특정 갯수의 패킷 만을 캡처 함 . -i 인터페이스명 : 캡처할 네트워크 인터페이스 .. -i : 뒤에 명칭 지정 않으면, 모든 네트워크 인터페이스를 대상으로 함 . -s 크기 : 캡처할 크기 (스냅샷 크기) . -r 파일명 : 특정 파일에서 읽기 . -w 파일명 : 특정 파일로 쓰기 저장 - [expression]은 BPF[패킷 ](Berkely Packet Filter)라는 저수준 패킷 필터링 구문BPF 구문 참조


[TCP/IP 유틸리티] 1. ifconfig/ipconfig 2. inetd 3. netstat 4. ping 5. rlogin,rsh 6. finger 7. tcpdump

 
        최근수정     요약목록     참고문헌