데이터 패킷을 캡쳐하는 tcpdump 실무활용법(tcpdump 강좌 1편)

데이터 패킷을 캡쳐하는 tcpdump 실무활용법(tcpdump 강좌 1편)

 

 

 

 

이번에는 특정이더넷에 떠돌아다니는 데이터 패킷을 캡쳐할 수 있고 모니터링 할 수 있는 tcpdump에 대해서 알아보도록 하자.

 

 

시스템관리자에게 꼭 필요한 도구는 아니지만 알아두면 네트워크 장애분석 및 원인분석에 매우 유용하다는 것을 알게 될 것이다.

 

 

 

 

 

 

tcpdump는 무엇을 하는 물건인가?

 

 

 

tcpdump는 지정한 네트워크 인터페이스(이더넷, 랜카드)로 송수신되는 데이터의 패킷전체 혹은 패킷헤드만을 모니터링하거나 덤프(dump)할 수 있는 아주 유용한 것이다.

 

 

 

 이 명령어의 주된 목적은 네트워크와 ethernet의 이상유무를 체크하기 위해 데이터 패킷을 모니터링하고 그 패킷헤드 또는 패킷자체를 분석하기 위한 것이다.

 

 

 

 즉, tcpdump를 잘만 사용한다면 캡쳐한 데이터패킷을 분석하여 네트워크나 서버의 응용서비스들의 문제점에 대해 분석하는 도구로 사용될 수 있고, 네트워크 문제를 확인할 수도 있다.

 

 

 

 하지만 이 툴을 악용한다면 크래킹의 도구로 사용될 수 있다.

 

 

 

 즉, 암호화하지 않은 채로 FTP나 TELNET같은 서비스를 이용하여 ID와 패스워드를 입력하였다면 누군가 tcpdump명령어로 이들 패킷을 캡쳐하여 분석할 수 있으며, 어렵지 않게 ID와 패스워드를 알아 낼 수 있기 때문이다.

 

 

 

 따라서 가능하다면 암호화된 통신방식(ssh2 또는 sftp등)을 이용하는 것이 보안측면에서는 매우 효율적이라는 것을 알 수 있다.

 

 

 

 

 

이렇게 정리하도록 하자. tcpdump를 이용하면 패킷에 대하여 다음과 같은 방법으로 얼마든지 캡쳐를 할 수 있다.

 

 

 

 

 

①  특정 이더넷을 거쳐가는 모든 패킷의 헤드를 캡쳐.

 

 

②  특정 이더넷을 거쳐가는 패킷전체를 캡쳐.

 

 

③  이 시스템과 원격지의 대상 호스트사이에 송수신되는 패킷헤더 혹은 패킷전체 캡쳐

 

 

④  이 시스템과 원격지 대상호스트 간의 모든 패킷들 가운데 특정 포트번호(혹은 특정 서비스)로만 송수신되는 패킷헤더 혹은 패킷 전체를 캡쳐

 

 

⑤  패킷을 캡쳐하여 특정 파일에 저장할 수있으며 저장된 파일내용 확인은 -r옵션을 사용하여 확인

 

 

이 방법외에도 얼마든지 원하는 방법으로 패킷캡쳐는 가능하다.

 

 

 

 

 

 그럼 이제부터 tcpdump를 이용하여 위의 여러가지 방법으로 패킷캡쳐를 해보도록 하자.