NETWORK · CH14

tcpdump — 커맨드라인 패킷 캡처

tcpdump는 터미널에서 인터페이스와 필터를 지정해 실제 패킷 흐름을 확인하는 도구입니다.

핵심 분해

캡처 흐름
인터페이스 선택eth0, wlan0처럼 캡처할 네트워크 장치를 지정합니다.
필터 적용host, port, tcp 같은 조건으로 노이즈를 줄입니다.
패킷 관찰SYN, ACK, RST, retransmission 같은 흐름을 봅니다.
파일 저장필요하면 pcap으로 저장해 Wireshark에서 자세히 분석합니다.

흐름으로 읽기

flow
interface캡처 지점
filter대상 축소
packets흐름 해석
실무 팁

처음부터 전체 트래픽을 보지 말고 IP나 포트 조건으로 범위를 줄이는 것이 중요합니다. 

tcpdump -i eth0 host 10.0.0.5
tcpdump -i eth0 tcp port 443
tcpdump -w trace.pcap