TCPDUMP는 트래픽 분석의 가장 기본적인 프로그램이다.
1. 명령어 옵션
-a : 네트워크 & Broadcast 주소들을 이름으로 바꿈
-n : 모든 주소들을 번역하지 않음
-N : 호스트 이름을 출력할 때, 도메인을 찍지 않음
-i <device> : 특정 인터페이스에 나온 트래픽만 모니터링
-q : 프로토콜에 대한 정보를 덜 출력한다
-S : TCP sequence 번호를 절대적인 번호로 출력
-t : 시간을 출력하지 않음
-tt : 형식이 없는 시간들로 출력
-w : 파일에 저장
-x : 헥사코드로 출력
2. 주요 필터링 방법
1. 명령어 옵션
-a : 네트워크 & Broadcast 주소들을 이름으로 바꿈
-n : 모든 주소들을 번역하지 않음
-N : 호스트 이름을 출력할 때, 도메인을 찍지 않음
-i <device> : 특정 인터페이스에 나온 트래픽만 모니터링
-q : 프로토콜에 대한 정보를 덜 출력한다
-S : TCP sequence 번호를 절대적인 번호로 출력
-t : 시간을 출력하지 않음
-tt : 형식이 없는 시간들로 출력
-w : 파일에 저장
-x : 헥사코드로 출력
2. 주요 필터링 방법
DHCP 패킷만 분석시
tcpdump -i eth0 -nN port bootpslayer 7에 대한 분석을 하고 싶을 때
tcpdump -i eth0 port 5060 -nqt -s 0 -A
-A : ascii로 출력해 줌
-s = N: 패킷 캡쳐 사이즈 (0 = max)
-t : No timestamp
-q: quite (less display)
참고사이트
http://www.erg.abdn.ac.uk/users/alastair/tcpdump.html