지정한 서버의 특정 포트로 송수신되는 패킷전체를 캡쳐하는 방법(tcpdump 강좌 4편)
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 706 조회
- 0 추천
-
목록
본문
지정한 서버의 특정 포트로 송수신되는 패킷전체를 캡쳐하는 방법(tcpdump 강좌 4편)
지금까지의 tcpdump는 패킷의 헤드만을 대상으로 캡쳐하는 것이었다.
그렇다면 헤드를 포함한 패킷전체를 캡쳐할 수는 없을까? 당연히 있다.
즉, tcpdump를 이용하여 패킷헤드 대신 패킷전체를 캡쳐해 볼 것이다.
뿐만아니라 현재 시스템과 특정 대상 호스트간의 송수신되는 데이터의 전체 패킷을 캡쳐할 수도 있다.
다음과 같이 tcpdump를 사용하면 특정 IP주소의 서버로 특정 포트를 이용하는 모든 패킷을 캡쳐하여 특정 파일에 저장할 수 있다.
|
[root@sulinux ~]#tcpdump -w sulinux.net.log -s 1500 tcp port 22 and host 192.168.0.150 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 1500 bytes 84 packets captured 173 packets received by filter 0 packets dropped by kernel [root@sulinux ~]# [root@sulinux ~]#ls -l sulinux.net.log -rw-r--r-- 1 root root 11973 Feb 16 01:37 sulinux.net.log [root@sulinux ~]# |
위의 명령어의 의미는 현재 로컬서버와 192.168.0.150호스트사이의 통신데이터패킷 중 tcp 22번포트의 모든 패킷을 1500길이로 캡쳐하여 sulinux.net.log파일에 저장하는 것이다.
MTU값이 1500이기 때문에 1패킷의 길이가 1500이므로 결론적으로 패킷전체를 캡쳐하게 된다.
정리해보면 다음과 같다.
-w sulinux.net.log
결과를 sulinux.net.log파일에 저장한다.
임의로 지정할 수 있다.
-s 1500
캡쳐할 패킷의 길이로서 1500은 패킷의 전체길이를 의미하므로 모든 패킷을 캡쳐한다.
해당 이더넷의 MTU값이 1500이면 여기서 1500을 지정하면된다.
네트워크 인터페이스의 MTU값 확인과 MTU값 변경등은 ifconfig로 할 수 있다.
tcp port 22
캡쳐할 대상 프로토콜과 포트를 지정한 것으로 TCP 포트 22번으로 송수신되는 데이터를 캡쳐하게 된다.
host 192.168.0.150
192.168.0.150 호스트와 송수신되는 데이터를 대상으로 캡쳐한다.
그리고 다음은 위에서 캡쳐한 sulinux.net.log파일의 내용을 ASCII모드로 확인하는 방법이다.
즉, tcpdump명령어에 -Xqnr옵션을 사용하면 다음과 같은 ASCII모드로 파일의 내용을 확인할 수 있다.
|
[root@sulinux ~]#tcpdump -Xqnr sulinux.net.log
reading from file sulinux.net.log, link-type EN10MB (Ethernet) 01:36:49.707552 IP 192.168.0.250.ssh > 192.168.0.150.simba-cs: tcp 132 0x0000: 4510 00ac 2b06 4000 4006 8c55 c0a8 00fa E...+.@.@..U.... 0x0010: c0a8 0096 0016 0607 805f 0585 9daa 62bd ........._....b. 0x0020: 5018 046c 4681 0000 e0af fee2 d91f 7b48 P..lF.........{H 0x0030: be54 3b98 6bcb 7ba8 483b d628 df49 c74a .T;.k.{.H;.(.I.J 0x0040: 7594 732d 796c 4318 542f 863c 0a8f b142 u.s-ylC.T/.<...B 0x0050: 1027 9b52 5dd6 ddfb c9c5 6088 0f54 afdd .'.R].....`..T.. 0x0060: f23e 3a24 aa01 ac6b ceec d78c f6d4 3a8f .>:$...k......:. 0x0070: 0f30 335a a7aa da64 c523 d1aa 04be 7739 .03Z...d.#....w9 0x0080: f625 bb91 eb4a fa96 c6fa 89da 1226 47e8 .%...J.......&G. 0x0090: 6795 9ffe 8ab0 5459 b269 69c7 686d 69e0 g.....TY.ii.hmi. 0x00a0: b5ea ec56 ab12 3315 6cd6 3784 ...V..3.l.7. 01:36:49.766425 IP 192.168.0.150.simba-cs > 192.168.0.250.ssh: tcp 0 0x0000: 4500 0028 fc7c 4000 4006 bb72 c0a8 0096 E..(.|@.@..r.... 0x0010: c0a8 00fa 0607 0016 9daa 62bd 805f 0609 ..........b.._.. 0x0020: 5010 3e10 61f6 0000 0000 0000 0000 P.>.a......... 01:36:56.021475 IP 192.168.0.150.ii-admin > 192.168.0.250.ssh: tcp 52 0x0000: 4500 005c fc7e 4000 4006 bb3c c0a8 0096 E..\.~@.@..<.... 0x0010: c0a8 00fa 0bbe 0016 d418 e2f6 5775 c94d ............Wu.M 0x0020: 5018 3dc8 9643 0000 3ae9 3bba 05b2 301e P.=..C..:.;...0. 0x0030: 0b7e 08a5 6c5c c7f3 d749 f7b9 9f0f 74b7 .~..l\...I....t. 0x0040: 5ec5 32fe 7dfd 88d5 91dc cffb 3574 9142 ^.2.}.......5t.B 0x0050: bc28 5e11 3c98 cb55 0d18 aced .(^.<..U.... 01:36:56.023875 IP 192.168.0.250.ssh > 192.168.0.150.ii-admin: tcp 52 0x0000: 4510 005c 929f 4000 4006 250c c0a8 00fa E..\..@.@.%..... 0x0010: c0a8 0096 0016 0bbe 5775 c94d d418 e32a ........Wu.M...* 0x0020: 5018 046c d855 0000 73a9 55e0 4ca2 1c52 P..l.U..s.U.L..R 0x0030: 4920 acad 5762 3d0c fe32 1cca 9805 39e4 I...Wb=..2....9. 0x0040: 957e e14f 52da b561 d76a 9d61 9053 0c52 .~.OR..a.j.a.S.R 0x0050: 70c6 0562 b037 bc2a c387 8bea p..b.7.*.... 01:36:56.024754 IP 192.168.0.250.ssh >
192.168.0.150.ii-admin: tcp 84 |
이런 내용을 처음 보는 분들은 “뭐 이런게 다있어!”라고 할런지 모르겠지만 ASCII코드와 16진수인 HEX코드에 친숙한 분이라면 위의 화면내용이 영문처럼 보일 수도 있다.
즉, 위의 분석방법에 대해서 관심이 많은 분들이라면 ASCII코드와 16진수코드에 대한 공부를 조금만 하면 된다.
관련자료
-
이전
-
다음
