[Linux] tcpdump

tcpdump 란?

네트워크 패킷을 수집하거나 분석할 때 사용할 수 있는 명령어입니다. 대부분의 유닉스 계열에서 NIC 를 통해 송수신 되는 패킷을 가로채고 표시해주는 명령어(소프트웨어) 입니다.

tcpdump 를 통해 호스트와 서버 사이에 이루어지는 통신을 들여다보며, 어떤 패킷이 어떻게 이동하는지를 확인할 수 있습니다.

tcpdump 를 입력하면, 현재 호스트가 전송하거나 수신하는 패킷을 엄청난 속도로 파바바박 보여줍니다. 이는 트러블슈팅을 위해서 해석하기 힘들다는 문제점이 있습니다.

그러면 어떡해..?

tcpdump 를 의미있고 보기 쉽게 사용할 수 있는 옵션들을 사용하면 됩니다.

nn 옵션

프로토콜과 포트 번호, 그리고 아이피 주소 등을 숫자 그대로 표현하도록 하는 옵션입니다. 위에서 확인했던 tcpdump 와의 출력값을 비교해보면 차이점을 알 수 있습니다. 예를 들어 위에서는 ubuntu1804.ssh 와 같이 표현되었던 호스트가 -nn 옵션을 추가하면 10.0.2.15.22 와 같이 표현됩니다. 이는 아이피주소.포트 를 포함하고 있습니다.

vvv 옵션

verbose 의 v 가 무려 3개나 포함된 옵션 이름입니다. 이는 "더더더보기" 와 같이 해석될 수 있겠죠..? 더 많은 정보를 담아 출력하라는 옵션입니다. checksum 과 같이 기존에는 보이지 않던 정보들이 추가된 것을 확인할 수 있습니다.

A 옵션

패킷의 내용을 추가로 보여주는 옵션입니다. A 옵션을 사용하면, HTTPS 기반이 아닌 HTTP 기반 통신의 경우 평문까지 확인할 수 있습니다.

포트 및 호스트

출력되는 패킷의 정보에 포트와 호스트 주소로 필터링을 걸 수 있습니다.

# 포트만
tcpdump -vvv -nn -A port 22

# 호스트주소만
tcpdump -vvv -nn -A host 10.1.1.1

# 둘다!
tcpdump -vvv -nn -A port 80 and host 10.1.1.1

위와 같이 필요한 호스트/포트 주소를 추가로 넘겨주어 이에 해당하는 패킷만 확인할 수 있습니다.

 

---

tcpdump 만으로 트러블슈팅을 진행하기에는 어려운 점이 많습니다. 그래서 대부분 wireshark 라는 도구를 사용하여 진행합니다.

tcpdump -vvv -nn -A port 80 and host 10.1.1.1 -w filename.pcap

위 명령어와 같이 tcpdump 결과값을 filename.pcap 으로 저장해주고, 이 파일을 wireshark 로 열면 tcpdump 보다는 조금 더 (눈과 마음이)편하게 분석하실 수 있을 것이라고 생각합니다.