[질문] tcpdump 사용법에 관해.
글쓴이: omando / 작성시간: 토, 2003/07/12 - 5:38오후
네트웍 모니터링하기 위한 도구로써.
tcpdump라는 명령을 설명해놓은게 있더군요.
마침 그런 도구가 매우 필요했던차라 그 반가움은 이루 말할 수 없더군요.
하지만 아무리 실행시켜보아도 다음과 같은 메시지만 나타날뿐 더이상의
어떤 메시지도 나타나질 않네요.
> tcpdump -x tcp 4444
---> tcpdump: listening on ee0
Using kernel BPF filter
< 현재 서버와 클라이언트가 port 4444를 통해 tcp/ip방식으로 연결되어 있는 상태이고 실제 tcp패킷을 까볼려고 시도중입니다.>
: man을 통해 들여다 보았지만 내용도 넘 방대할 뿐더러 난해하기도 하고 아리송하던구요.
>tcpdump -x tcp port 4444
>tcpdump -x port 4444
>tcpdump -x tcp
등등
나름대로 여러가지 조합을 해보았지만 안되더군요.
tcpdump명령어를 이용해 사용하는 가장 기본적으로 몇가지 방법좀 부탁드려요.
Forums:
www.google.co.kr 에서 tcpdump로 검색해 보세요.
www.google.co.kr 에서 tcpdump로 검색해 보세요.
엄청나게 나올겁니다. ;-)
답변은 아니지만..
tcpdump를 사용하기는 참 귀찮죠.
binary로 다량의 패킷 트레이스를 받아놓고 사용할 때에는 괜찮지만,
불편하고 매뉴얼도 너무 어려운 것 같아요 :D
ethereal을 사용해보세요.
무척 편리하답니다.
다양한 옵션과 필터링 그리고 plug-in을 지원하더군요.
주소는 www.ethereal.com 입니다 ^^
Re: [질문] tcpdump 사용법에 관해.
tcpdump -x port 4444 나 -x tcp 등은 될 텐데 안되시나요?
root 권한으로 실행하시는지 확인해보세요.
tcpdump -x tcp and port 4444
라고 하셔야 됩니다.
모든 조건에는 논리연산자로 묶어 주셔야합니다.
-n 은 address를 그대로 보여주므로 address를 변환하는데 들어가는 시간을 줄여줍니다.
-s 1024 와 같이 숫자를 넣어주면 보여주는 길이가 늘어납니다.
---
http://coolengineer.com
iptable 혹은 ipchains와 같이자체 페킷필터링이 걸려있는
iptable 혹은 ipchains와 같이
자체 페킷필터링이 걸려있는 호스트에서는
tcpdump가 정상적으로 작동하지 않는 경우가 있습니다.
그리고 위의 경우가 아닐 시에도,
캡쳐한 내용이 나올때까지 시간이 많이 걸리는 때도 있습니다.
매우 드문 경우지만, nic가 promiscuous-mode를 지원하지 않는 경우도 있습니다.
그리고 switching hub를 쓸경우 Server와 Client외에 다른 호스트에서
검출이 안돼기도 합니다.
이런 경우는 별도의 dummy gateway 프로그램을 작성하거나
ssh 포트 forward 기능을 이용하여,
패킷을 가로채는 호스트로 stream이 경유하게 하여
tcpdump를 사용하는 방법과
임시로 dummy hub를 구해 Server나 client 둘 중 어느 한쪽과
감시할 호스트와 dummy hub로 묶어서 사용하는 방법도 있습니다.
There is no spoon. Neo from the Matrix 1999.
댓글 달기