Tcpdump 란,

지정한 네트워크 인터페이스(이더넷, 랜카드)로 송수신되는 데이터의 패킷전체 혹은 패킷헤드만을 모니터링하거나 덤프할 때 사용하는 프로그램이다.

프로그램 특성상, 네트워크 인터페이스를 아주 심도 있게 사용하기 때문에, 실행하는 사람은 반드시 네트워크 인터페이스에 대한 읽기권한이 있어야만 한다.

 캡쳐한 데이터 패킷을 분석하여 네트워크나 서버의 응용서비스들의 문제점에 대해 분석하는 도구로 사용될 수 있다.

ex) tcpdump -n -i eth1 host xxx.xxx.xxx.xxx and port yy and udp

-n : 결과를 Domain name 쿼리를 하지 않고 보여준다.

-i : 보고자 하는 인터페이스를 지정한다. eth1, eth2 ...

host : 보고자 하는 특정 IP를 지정할 수 있다.

and/or : 두 조건의 교집합/합집합 논리 연산자이다.

port : 보고자 하는 특정 port를 지정할 수 있다.

udp : UDP를 보여준다. tcp라 쓰면 tcp를.. icmp라 쓰면 icmp를...

-e : Ethernet Address 를 보여준다.

-x : HEXA 값을 Dump해서 보여준다.

-w : 결과를 파일에 저장한다.

-r : 파일에 저장된 결과를 읽어온다.

-c : 캡쳐할 갯수를 지정한다.

-s : 캡쳐할 패킷의 길이를 지정한다. (MTU값)

-X : ASCII 모드도 함께 보여준다.

 # tcpdump host 168.126.63.1
특정 ip에 대한 트래픽(소스 목적지 관계없이)을 모니터링 하고자 할 때 사용할 수 있다.
마찬가지로 만약 소스나 목적지 IP에 대한 정보만을 보고자 한다면 "tcpdump dst host 211.47.66.50" 또는 "tcpdump src host 211.47.66.50"과 같이 사용하면 되나 흔히 소스 목적지에 관계없이 사용이 가능한 host를 많이 사용한다.
 

# tcpdump port 80 -X
80번에 대한 트래픽을 hex와 ascii로 함께 보여준다. 주로 패킷의 헤더정보 뿐만 아니라 상세한 내용을 보고자 할 때 사용한다.
 

# tcpdump host 211.47.66.50 and port 80
소스나 목적지 IP에 IP가 211.47.66.50이고, 소스나 목적지 포트가 80 즉 http인 트래픽을 모니터링 하고자 할 때 사용한다. 여러 가지의 패킷필터가 있을 경우 위와 같이 and 또는 or를 사용할 수 있다.
 

# tcpdump -i eth1 port 80
eth1을 통해 소스나 목적지 포트가 80번인 트래픽을 모니터링 하고자 할 때 사용한다.
 

# tcpdump port 80 and not host 1.1.1.1
소스나 목적지 포트가 80번인 트래픽중에서 소스나 목적지 ip가 1.1.1.1이 아닌 트래픽을
모니터링 하고자 할 때 사용할 수 있다.
 

# tcpdump -i eth1 arp
eth1 인터페이스를 통과하는 arp 패킷을 보여준다.

# tcpdump -i eth1 net 10.64.4.0 mask 255.255.255.0
eth1 인터페이스를 통과하는 패킷 중 소스나 목적지 ip 대역이 10.64.4.0/24 대역에 속하는
패킷을 보여준다.
 

# tcpdump -n
dump하는 패킷에 대해 ip나 포트번호 등에 대한 역질의(reverse lookup)를 하지 않는다.