tcpdump 사용방법

tcpdump 사용방법
 
-i ethx       : 대상 네트워크 카드를 지정
-w filename  : 출력을 특정 파일로 지정
-r            : 특정 파일을 text포맷형식으로 변환하여 확인
-c NUM      : NUM만큼 패킷의 head를 확인
-s NUM      : 패킷의 길이(1500이 패킷의 전체길이를 의미, 물론 변경될 수도 있슴. (ifconfig확인)
-tcp port XX  : tcp XX포트만 지정
-host IP      : 특정 IP만 캡쳐
-Xqnr        :저장한 데이터를 ASCII모드로 파일 내용을 확인
 
# tcpdump                 => 현재 서버의 모든 Packet를 보여줌.
# tcpdump -i eth0          => 특정 ethernt(eth0) device로 송수신 되는 데이터 패킷을
                               덤프하여 확인
# tcpdump -i eth0 -w TCPDUMP  => 특정 Ethernet device로 송,수신 되는 패킷들을 파일로
                                     저장 및 확인
# tcpdump -r TCPDUMP    => TCPDUMP에 저장된 패킷헤드들을 확인
# tcpdump -i eth0 -c 10    => ethernet에서 지정한 개수만큼의 네트워크 패킷 덤프하여 확인
# tcpdump -w tcpdump.log -s 1500 tcp port 22 and host 192.168.0.1
                            => 서버의 특정포트로 송수신되는 모든 데이터패킷 전체를 확인
                                이 명령의 의미는 현재 로컬서버와  192.168.0.00서버사이의
                                통신 데이터 패킷 중 tcp 22번 포트의 모든 패킷을
                                1500길이로 캡쳐하여 tcpdump.log파일에 저장
# tcpdum -Xqnr tcpdump.log => 캡쳐한 tcpdump.log파일의 내용을 ASCII모드로 확인
 
 
sample 
특정 ip의 모든 덤프를 tcpdump.cap로 저장
# tcpdump -i eth0 host IP_Address -w tcpdump.cap
 
저장된 캡쳐파일을 ASCII형태로 보기
# tcpdump -Xqnr tcpdump.cap