출처:http://tip.daum.net/openknow/13048340
Tcpdump의 사용 예제들
security라는 호스트로부터 날아오고, 날아가는 패킷들을 출력
# tcpdump host security
security와 mazinga, getarobo 사이에 날아다니고 있는 패킷들을 출력
# tcpdump host security and ( mazinga or getarobo )
security에서 elgaim을 제외한 모든 호스트로 날아다니는 IP 패킷들을 출력
# tcpdump ip host security and not elgaim
주의) 아래 필터에서 홑따옴표를 사용하는 것은 쉘이 필터를 해석하지 않도록 하기 위해서이다.
gateway amurorei를 거치는 ftp에 관련된 패킷들을 출력
# tcpdump 'gateway amurorei and ( port ftp or ftp-data )'
local호스트가 아닌 호스트와 로컬호스트가 맺는 TCP 커넥션의 시작과 마지막 패 킷들을 출력한다(SYN, FIN 패킷).
# tcpdump 'tcp[13] & 3 != 0 and not src and dst net non-local'
ICMP 패킷들을 출력한다.
# tcpdump 'ip[9] = 1'
gateway amurorei를 지나는 576Byte보다 큰 패킷들을 출력한다
# tcpdump 'gateway amurorei and ip[2:2] > 576'
Ethernet boradcast 혹은 multicast를 통해서 보내진 것이 아닌, IP broadcast 혹 은 multicast 패킷들을 출력한다.
# tcpdump 'ehter[0] & 1 = 0 and ip[16] >= 224'
Echo request/reply가 아닌 ICMP 패킷들을 모두 출력한다.
# tcpdump 'icmp[0] != 8 and icmp[0] != 0'
traceroute 탐지 패킷 출력
(유닉스용 traceroute 는 UDP 데이터 그램을 보냄으로서 작동하므로
대개 33000-33999 포트에서 탐지된다. 하지만 윈도우용은 ICMP를 사용함.)
# tcpdump -v 'udp[2:2] >=33000 and udp[2:2] < 34000'
'Linux' 카테고리의 다른 글
| [IPTABLES] 53번 포트 OUT바운드 포트 차단 (0) | 2016.05.12 |
|---|---|
| [CentOS] 해킹점검 - perl (0) | 2016.05.12 |
| [CentOS] 해킹점검 내용 - eval (0) | 2016.05.12 |
| [CentOs6.x] portsentry-1.0 설치 및 테스트 (0) | 2016.03.28 |
| [CentOs 6.x] ssh_exchange_identification: read: Connection reset by peer 에러 (1) | 2016.03.04 |