tcpdump의 일반적인 예

tcpdump는 네트워크를 통해 이 시스템으로 전송되는 TCP/IP 및 기타 네트워크 데이터 패킷을 표시하는 데 사용할 수 있는 매우 일반적으로 사용되는 네트워크 패킷 분석 도구입니다. tcpdump libpcap 라이브러리를 사용하여 네트워크 패킷을 캡처하세요. 이 라이브러리는 거의 모든 Linux/Unix에서 사용할 수 있습니다.

tcpdump는 네트워크 카드나 이전에 생성된 패킷 파일의 내용을 읽거나 나중에 사용할 수 있도록 패킷을 파일에 쓸 수 있습니다. tcpdump를 실행하려면 루트이거나 sudo 권한을 사용해야 합니다.

이 기사에서는 몇 가지 예를 통해 tcpdump 명령을 사용하는 방법을 설명하지만 먼저 다양한 Linux 운영 체제에서 tcpdump를 설치하는 방법을 살펴보겠습니다.

설치

tcpdump는 거의 모든 Linux 배포판에서 기본적으로 사용할 수 있지만, Linux에서 사용할 수 없는 경우 아래 방법을 사용하여 설치하세요.

CentOS/RHEL

CentOS 및 RHEL에 tcpdump,

를 설치하려면 다음 명령을 사용하세요. 으아악

Fedora

Fedora에 tcpdump를 설치하려면 다음 명령을 사용하세요.

으아악

우분투/데비안/리눅스 민트

Ubuntu/Debain/Linux Mint에 tcpdump를 설치하려면 다음 명령을 사용하세요.

으아악

tcpdump를 설치한 후 몇 가지 예를 살펴보겠습니다.

사례 시연

모든 네트워크 카드에서 패킷 캡처

모든 네트워크 카드에서 패킷을 캡처하려면 다음 명령을 실행하세요.

으아악

지정된 네트워크 카드에서 패킷 캡처

지정된 네트워크 카드에서 패킷을 캡처하려면 다음을 실행하세요.

으아악

캡처된 패킷을 파일에 쓰기

使用 -w 选项将所有捕获的包写入文件：

$ tcpdump -i eth1 -w packets_file

读取之前产生的 tcpdump 文件

使用下面命令从之前创建的 tcpdump 文件中读取内容：

$ tcpdump -r packets_file

获取更多的包信息，并且以可读的形式显示时间戳

要获取更多的包信息同时以可读的形式显示时间戳，使用：

$ tcpdump -ttttnnvvS

查看整个网络的数据包

要获取整个网络的数据包，在终端执行下面命令：

$ tcpdump net 192.168.1.0/24

根据 IP 地址查看报文

要获取指定 IP 的数据包，不管是作为源地址还是目的地址，使用下面命令：

$ tcpdump host 192.168.1.100

要指定 IP 地址是源地址或是目的地址则使用：

$ tcpdump src 192.168.1.100
$ tcpdump dst 192.168.1.100

查看某个协议或端口号的数据包

要查看某个协议的数据包，运行下面命令：

$ tcpdump ssh

要捕获某个端口或一个范围的数据包，使用：

$ tcpdump port 22
$ tcpdump portrange 22-125

我们也可以与 src 和 dst 选项连用来捕获指定源端口或指定目的端口的报文。

我们还可以使用“与” （and，&&）、“或” （or，|| ) 和“非”（not，!） 来将两个条件组合起来。当我们需要基于某些条件来分析网络报文是非常有用。

使用“与”

可以使用 and 或者符号 && 来将两个或多个条件组合起来。比如：

$ tcpdump src 192.168.1.100 && port 22 -w ssh_packets

使用“或”

“或”会检查是否匹配命令所列条件中的其中一条，像这样：

$ tcpdump src 192.168.1.100 or dst 192.168.1.50 && port 22 -w ssh_packets
$ tcpdump port 443 or 80 -w http_packets

使用“非”

当我们想表达不匹配某项条件时可以使用“非”，像这样：

$ tcpdump -i eth0 src port not 22

这会捕获 eth0 上除了 22 号端口的所有通讯。

我们的教程至此就结束了，在本教程中我们讲解了如何安装并使用 tcpdump 来捕获网络数据包。

---

위 내용은 tcpdump의 일반적인 예의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!