1. 개요
tcpdump는 네트워크 트래픽을 캡처하고 분석하는 데 사용되는 강력한 명령어 기반 패킷 분석 도구이다. 이 도구는 네트워크 인터페이스에서 전송되는 패킷을 실시간으로 모니터링하고, 이를 파일로 저장하거나 특정 필터링 조건을 사용하여 패킷을 분류할 수 있다. 네트워크 문제 해결, 보안 분석, 트래픽 모니터링 등의 다양한 분야에서 유용하게 사용된다.
2. 주요 기능
2.1 실시간 네트워크 패킷 캡처
tcpdump는 실시간으로 네트워크 트래픽을 모니터링할 수 있다. 이를 통해 서버 또는 네트워크 장치로 오가는 모든 패킷을 실시간으로 확인하고, 의심스러운 네트워크 활동을 즉시 탐지할 수 있다.
3. 실습
3.1 환경 구성
- Kali Linux (TCPDump로 패킷 캡처) - 192.168.179.133/24
- Alpine Linux (Telnet Host) - 192.168.179.143/24
- Window 11 (Telnet Client) - 192.168.179.1/24
3.2 TCPDump 실행
스캔 대상인 192.168.179.143을 인자로 지정해 스캔 시작
sudo tcpdump -i eth0 -xX host 192.168.179.143
Window 11에서 telnet으로 접속 시도
그리고 telnet을 통해 접속하면 패킷을 볼 수 있다.
telnet 192.168.179.143
192.168.179.1 → 192.168.179.143 으로 연결이 되었음을 알 수 있다.
그리고 telnet에서 명령어를 실행하게 되면 telnet은 별도의 보안 프로토콜이 적용되지 않았기 때문에, 명령어를 실행하면 해당 결과가 그대로 패킷에 남게 된다.
같은 원리로 보안 프로토콜이 적용된 ssh를 통해 접속 후 동일한 명령어를 실행했을 때는 tcpdump로도 명령어 실행 결과를 볼 수 없었다.
4. 결론
TCPDump는 패킷을 실시간으로 볼 수 있는 유용한 네트워크 분석 도구이다. 네트워크 문제를 진단하거나, 보안 위협을 분석할 때 매우 효과적으로 활용될 수 있다. 특히 네트워크 트래픽을 효율적으로 모니터링하고 특정 트래픽만을 필터링하여 집중 분석할 수 있는 기능은 네트워크 엔지니어와 보안 전문가에게 필수적인 도구이다.
추가로 TCPDump는 텍스트 기반 출력 도구이므로, 대량의 데이터나 복잡한 패킷을 분석할 때는 Wireshark와 같은 GUI 기반의 도구와 병행하여 사용하면 분석 작업을 더욱 수월하게 할 수 있을 것 같다. cli 기반의 도구라서 추가적인 모듈 개발이나 다른 프로그램에서 호출해서 사용할 때 유용할 듯하다.
'network' 카테고리의 다른 글
| [우암 네트워크] - 번지코드 세팅법 (0) | 2025.05.07 |
|---|---|
| [shijack] 세션 하이제킹 실습 (0) | 2024.11.01 |
| [데이터 통신] Chapter 12 매체 접근 제어 (MAC) 연습 문제 & 정답 (0) | 2023.06.15 |
| [데이터 통신] Chapter 11 데이터 링크 제어 DLC 연습 문제 & 정답 (0) | 2023.06.15 |
| [데이터 통신] Chapter 10 오류 검출과 오류 정정 연습 문제 & 정답 (0) | 2023.06.14 |
