tcpdump

~15 min · tcpdump, packet-capture, wireshark

Level 0Pinger

0 XP0/101 lessons0/12 achievements

0/150 XP to next level150 XP to go0% complete

Wire 직접 보기

tcpdump 가 실시간으로 패킷 캡처하고 표시. 터미널 기반 패킷 sniffer. 다른 도구가 결과 (host 답함, 포트 열림) 알려주는 데 비해 tcpdump 는 실제 흐르는 바이트 보여줌 — 모든 상위 레벨에서 괜찮아 보이는데 여전히 안 될 때 필수.

Filter expression 이 전부

tcpdump 가 BPF (Berkeley Packet Filter) 구문으로 필터링. 예 — port 22, host 192.168.1.100, tcp and port 443, not port 22. 필터 없으면 노이즈에 빠져. 항상 필터.

깊은 분석은 pcap 저장 후 Wireshark

tcpdump 텍스트 출력은 라이브 triage 좋음. 진짜 패킷 분석 ("왜 이 TLS handshake 실패?") 은 pcap 파일에 capture 하고 Wireshark 에서 열기. tcpdump 가 capture, Wireshark 가 분석 — 팀.

Code

tcpdump 레시피·bash

# Live capture on en0, port 22 traffic, no DNS, brief
sudo tcpdump -i en0 -nn port 22

# All traffic to/from a specific host
sudo tcpdump -i en0 -nn host 192.168.1.100

# Save to a pcap file for Wireshark
sudo tcpdump -i en0 -w capture.pcap
# Stop with Ctrl+C, then open capture.pcap in Wireshark

# DNS queries on the wire
sudo tcpdump -i en0 -nn port 53

# ASCII printable form (good for plaintext protocols, useless for TLS)
sudo tcpdump -i en0 -A port 80

# Limit to N packets and exit
sudo tcpdump -i en0 -c 100 -nn port 22

External links

Exercise

촉발 가능한 서비스 골라 (웹페이지 열기, SSH 명령 실행). 다른 터미널에서 sudo tcpdump -i en0 -nn -c 30 host that-host. 활동 촉발, 패킷 날아가는 거 봐. TCP handshake (SYN/SYN-ACK/ACK), 암호화된 데이터, FIN/ACK shutdown 봄. 이제 wire 직접 봤어.

Progress

Progress is local-only — sign in to sync across devices.

← Previousarp Next →networksetup (macOS)

이 페이지에서 버그를 발견하셨거나 피드백이 있으세요?문제 신고

🔔 답글 알림 (로그인 필요)

로그인 — 댓글을 남기려면 로그인해 주세요.

아직 댓글이 없어요. 첫 댓글을 남겨보세요.